WO2003019337A2 - Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs - Google Patents

Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs Download PDF

Info

Publication number
WO2003019337A2
WO2003019337A2 PCT/EP2002/007398 EP0207398W WO03019337A2 WO 2003019337 A2 WO2003019337 A2 WO 2003019337A2 EP 0207398 W EP0207398 W EP 0207398W WO 03019337 A2 WO03019337 A2 WO 03019337A2
Authority
WO
WIPO (PCT)
Prior art keywords
software
key
control device
signature
activation code
Prior art date
Application number
PCT/EP2002/007398
Other languages
English (en)
French (fr)
Other versions
WO2003019337A3 (de
WO2003019337A8 (de
Inventor
Burkhard Kuhls
Original Assignee
Bayerische Motoren Werke Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke Aktiengesellschaft filed Critical Bayerische Motoren Werke Aktiengesellschaft
Priority to CN028169433A priority Critical patent/CN1549959B/zh
Priority to EP02764624.9A priority patent/EP1421460B1/de
Priority to JP2003523337A priority patent/JP4486812B2/ja
Publication of WO2003019337A2 publication Critical patent/WO2003019337A2/de
Publication of WO2003019337A3 publication Critical patent/WO2003019337A3/de
Priority to US10/786,224 priority patent/US9262617B2/en
Publication of WO2003019337A8 publication Critical patent/WO2003019337A8/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Definitions

  • the invention relates in particular to a method for providing software for use by a control device of a vehicle, such as in particular a motor vehicle or motorcycle, according to the preamble of claim 1
  • Control devices for motor vehicles usually have a software-controlled sequence control, which is stored in the control device manufacturer after the control device has been manufactured or in the vehicle manufacturer after the control device has been installed in the control device
  • the object of the invention is to improve the software / hardware combination, such as, in particular, a motor vehicle or passenger car
  • An important aspect of the invention is, using the public key method, to sign software intended for use by a control device of a vehicle, such as in particular a motor vehicle or motorcycle, using the secret or private key of a software signature point to prevent tampering
  • the public key method is characterized in particular by the fact that it makes use of a special key pair, namely a secret, private key and a public key that is complementary to this
  • a further embodiment of the invention provides a software signature certificate using the public key of the software signature point and the secret key of a control entity, a so-called trust center, as part of a public key process , to create
  • the software signature certificate has one or more validity restrictions, such as in particular a restriction to one or more control device types
  • the activation code signature certificate has one or more validity restrictions, such as, in particular, a restriction to a specific control device, which, for example, individualizes on the basis of a number, identifier or the like which is stored therein in an unchangeable manner or the chassis number of a vehicle
  • the software signature certificate is checked for authenticity as part of a public key process using the public key of the trust center
  • the signed software is checked for authenticity as part of a pubc key process using the public key of the software signature location contained in the software signature certificate
  • the activation code signature certificate is checked for authenticity as part of a pub c-key method using the public key of the trust center
  • the signed activation code data are checked for authenticity as part of a pubc key procedure using the public key of the activation code signature contained in the activation code signature certificate
  • control device is provided with a sequence-controlled microprocessor which executes one of the methods described above using the Pubhc key method
  • a sequence-controlled microprocessor which executes one of the methods described above using the Pubhc key method
  • FIG. 1 shows a graphical illustration of a method according to the invention for providing software for operating a control device in a vehicle, such as in particular a motor vehicle or motorcycle
  • a program code for sequence control of a control device 115 ie control device software 113
  • a so-called software signature point 105 for the purpose of it Signature transmitted
  • the control device 115 is a program-controlled data processing device which preferably has a programmable memory and a microprocessor.
  • the signature can be used to identify whether the program code has been changed or manipulated after the signature. How this is done explained in more detail below
  • a control device is to be understood in particular to mean both a conventional control device in a vehicle for controlling and / or regulating actuators and the other program-controlled equipment in a vehicle, such as a communication system, an audio system or a navigation system, although a large number of control devices for different functions or actuators in vehicles are currently provided, a control device according to the invention can also be one or more program-controlled data processing devices which perform the control and / or regulating tasks of more than one control device
  • the software signature point 105 requests a software signature from a so-called trust center 101 of the vehicle manufacturer, for whose vehicle the control device 115 is intended or in whose vehicle it is or is to be installed.
  • Certificate 120 to The software signature location 105 is preferably the manufacturer of the software 113, whereby this is preferably also the manufacturer of the control unit 115 Using its non-public, private key 103 and the public key 108 of the software signature point 103, the trust center 101 generates the software signature certificate 120, which in particular has the public key 108 of the software signature point 105, preferably one or more - Other validity restrictions, which are not explicitly shown, and a signature 121 generated by the trust center 101 on.
  • the signature enables a check to be made as to whether the certificate has been changed or manipulated after it has been “signed” or signed
  • a validity restriction in the software signature certificate 120 checked by the control device 115 for compliance it can in particular be a restriction regarding the number of operating hours, a mileage or mileage, a locally limited validity (in relation to the Location of the vehicle), a time or duration, one or more vehicle types, one or more control devices or control device types, a chassis number or a control device number.
  • the software signature certificate preferably has a restriction on the usability of the software to one or more control device types Restriction can then exist that the manufacturer of a software can only write it into a control unit or save it there or execute it if the manufacturer of the software is also the manufacturer of the control unit.
  • the one or more validity restrictions are preferably checked by you by a sequence-controlled microprocessor (not shown) provided in the control unit 115, the sequence control or software of which is designed accordingly
  • the trust center 101 also uses its secret key 103 to generate a trust center signature certificate 116, which in particular has its public key 101 and a signature 117 generated using the secret key 103 of the trust center 101
  • the software signature point 105 generates a signature 114 using its private or secret key 109 and the software 113, on the basis of which the control device, such as in particular a program-controlled microprocessor, it can be checked whether the software 113 has been changed with the signature 114 after it has been signed
  • the certificates 1 16 and 120 as well as the software 113 and their signature 114 are transmitted to the control device 115 and stored there.
  • the trust center signature certificate 116 is stored in a protected memory or storage area 122 which prevents the trust Center signature certificate 116 can be changed and / or exchanged
  • the manufacturer of the software and the manufacturer of the control unit are identical, this is done in whole or in part preferably by the manufacturer before the control unit is delivered to the vehicle manufacturer
  • several ways of introducing the software into the vehicle can be used to update the software stored in the control unit or to provide additional or alternative software in the control unit. This can be done, for example, when visiting a workshop, for example via a diagnostic connector or a communication -Interface of the vehicle, or from a data carrier handed out to the vehicle owner, such as a CD-ROM, DVD or chip card, is carried out.
  • the software is then possibly imported via a reader provided in the motor vehicle for the data carrier concerned
  • the control device 1 15 checks in a first step on the basis of the Pubhc-Key method using the software signature certificate 120, which is the public key 108 of the software Signature location 105 and the signature 121 of the trust center 101, and using the public key 102 of the trust center 101 stored in the protected memory or memory area 122, whether the software signature certificate 120 has been changed or manipulated
  • control device checks in a second step on the basis of the public key method using the public key 108
  • the software signature point 105 which was checked in the first step using the public key 102 of the trust center 101 to ensure that it is unchanged, and using the software 1 13 and the signature 1 14 whether the Software 113 has been changed or manipulated.
  • a first necessary but not sufficient prerequisite for the software 113 to be transferred from the control device 115 can be executed.
  • control device 115 or a sequence-controlled microprocessor (not shown) provided in the control device preferably checks, for example, one or more validity restrictions or validity requirements, such as, in particular, stored in the software signature certificate 120 by the trust center 101 an operating hours restriction on the usability of the certificate 120 are met. Possibly. forms the fulfillment of the validity restrictions l -zw. Validity requirements are a further requirement so that software 1 13 can be executed by control unit 15.
  • Another exemplary embodiment which will not be discussed further, is the sole or sufficient prerequisite for the execution of the software by the control unit.
  • the signed software which has the control unit software 113 and the software signature 114, and the software signature certificate 120 provided with the public key 108, if appropriate with further Software, the owner of a vehicle on a data carrier (not shown), such as a CD-ROM or DVD. Its data content can be accessed, for example, via a corresponding data processing device (not shown) which is connected to at least one control unit of a motor vehicle.
  • a data carrier such as a CD-ROM or DVD. Its data content can be accessed, for example, via a corresponding data processing device (not shown) which is connected to at least one control unit of a motor vehicle.
  • the owner of the vehicle contacts the so-called activation code point 104 by telephone or via the Internet from the vehicle If the payment modal crimes have been clarified, the owner selects the relevant software to be activated, transmits the chassis number and / or a number identifying the relevant control device or the like (which can also be done electronically by reading and transmitting from the relevant one or more control devices) and gives in the case of a time-dependent usage fee for the software, for which period of time he wishes to use the software, so-called activation code data 11 1 are generated on the basis of this usage information, which is designated by the reference symbol 110
  • the activation code point 104 requests a so-called activation code signature certificate 118 from the trust center 101.
  • the trust Center 101 uses the public key 106 of the activation code point 104 and the secret key 103 of the trust center 101, the trust Center 101 the activation code signature certificate 1 18 on the basis of the Pubhc key method
  • the software 13, the signature 114 and / or information or software number or the like derived therefrom is stored at the activation code point 104 and / or in whole or in part in the activation code signature certificate 118 is received.
  • the activation code signature certificate 118 has the public key 106 of the activation code point 104 and the signature 119 generated by the trust center 101, which can be used to check whether the certificate 118 has been signed or "signed" Signature has been changed or manipulated
  • the activation code signature certificate 118 generated by the trust center 101 also preferably has one or more validity restrictions, which are not explicitly shown
  • a validity restriction in the activation code signature certificate 118 checked by the control device 115 for compliance it can in particular be a restriction regarding an operating number of hours, a mileage or mileage, a locally limited validity (in relation to the Location of the vehicle), a time or duration, one or more vehicle types, one or more control units or control unit types or a chassis number or a control unit number.
  • the activation code signature certificate preferably has a restriction on the usability to a specific control unit individualizing control unit number or a chassis number for the checking of the one or more validity restrictions or validity requirements is preferably carried out by a sequence-controlled microprocessor (not shown) provided in control unit 115, its sequence control or software, is designed accordingly
  • a preferred activation code indicates the following information groups, which have been checked in whole or in part by control device 115 and compared with reference information, in whole or in part to software identification, chassis number and / or control device number, limitation of validity, such as, in particular, an absolute time specification, number of operating hours, identification of the customer after the activation code, eg a vehicle handler or a vehicle owner, identification of the activation code location generating the activation code, date of generation and signature
  • the restriction can also consist in that the activation code point software and / or data for use by a navigation system provided in the vehicle, such as in particular map data or the like, but not software or data for changing the engine control and / or Sequence control (especially) safety-relevant control devices can release
  • the activation code signature certificate 118 generated by the trust center 101 and the activation code data 111 and their signature 112 are transmitted to the vehicle (not shown) and subsequently to the control device 115 concerned and stored there.
  • the transmission is preferably wireless, such as ms especially via a cellular network and / or an internet connection
  • the control device 115 checks in a third step on the basis of the Pubhc key method using the activation code signature certificate 118, which the public key 106 of the activation code Site 104 and the signature 119 of the trust center 101, and using the public key 102 of the trust center 101 stored in the protected memory or storage area 122, whether the activation code signature certificate 118 has been changed or manipulated
  • control device 115 checks in a fourth step on the basis of the public key method using the public key 106 of the activation code point 104, and in the third step using the public key 102 of the trust center 101 has been checked to ensure that it is unchanged, and using the activation code data 111 and its signature 1 12, whether the activation code data 111 has been changed or manipulated
  • the control device 115 or a sequence-controlled microprocessor preferably checks, for example, whether one or more of the validity restrictions or validity requirements preferably stored in the activation code signature certificate 118 by the trust center 101 are met Otherwise the release of the software or its execution will be blocked, in particular by the microprocessor
  • the positive test in the third and fourth steps and possibly the positive test in the fifth step, preferably by a processor (not shown) of the control device, is the sufficient prerequisite for the described preferred embodiment of the invention that the software 113 of the control unit 115 can be executed.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft insbesondere ein Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs, wie insbesondere ein Kraftfahrzeug oder Motorrad. Zur Verbesserung der Software/Hardware-Kombination, wie insbesondere eines Kraftfahrzeugs oder Personenkraftwagens, wird vorgeschlagen, dass die Software vor ihrer Verwendung durch das Steuergerät unter Verwendung des geheimen bzw privaten Schlüssels einer Software-Signaturstelle im Rahmen eines Public-Key-Verfahrens gegen Verfälschung signiert wird, und die signierte Software unter Verwendung des zu dem geheimen Schlüssel der Software-Signaturstelle komplementären öffentlichen Schlüssels auf ihre Unverfälschtheit hin überprüft wird.

Description

Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs
Die Erfindung betrifft insbesondere ein Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerat eines Fahrzeugs, wie insbesondere ein Kraftfahrzeug oder Motorrad, nach dem Oberbegriff des Anspruchs 1
Steuergerate für Kraftfahrzeuge weisen üblicherweise eine durch Software gesteuerte Ablaufsteuerung auf, die nach der Herstellung des Steuergeräts beim Hersteller des Steuergeräts oder beim Fahrzeughersteller nach der Montage des Steuergeräts in diesem gespeichert wird
Nachteilig ist, dass die Software in schädigender Weise, ausgetauscht oder abgeändert werden kann
Die Aufgabe der Erfindung besteht in der Verbesserung der Software/Hardware- Kombination, wie insbesondere eines Kraftfahrzeugs oder Personenkraftwagens
Diese Aufgabe wird durch die in den unabhängigen Patentansprüchen angegebenen Maßnahmen jeweils gelost Vorteilhafte Ausgestaltungen der Erfindung sind in den abhangigen Patentansprüchen angegeben
Ein wichtiger Aspekt der Erfindung besteht darin, unter Verwendung des Public-Key- Verfahrens, eine zur Verwendung durch ein Steuergerat eines Fahrzeugs vorgesehene Software, wie insbesondere ein Kraftfahrzeug oder Motorrad, unter Verwendung des geheimen bzw privaten Schlüssels einer Software-Signaturstelle gegen Verfälschung zu signieren Das Public-Key-Verfahren zeichnet sich insbesondere dadurch aus, dass es von einem besonderen Schlussel-Paar Gebrauch macht, nämlich einem geheimen, privaten Schlüssel und einem zu diesem komplementären öffentlichen Schlüssel Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, ein Software-Signatur-Zertifikat unter Verwendung des öffentlichen Schlusseis der Software-Signaturstelle und des geheimen Schlusseis einer Kontroll- instanz, eines sogenannten Trust-Centers, im Rahmen eines Public-Key- Verfahrens, zu erzeugen
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, ein Kontrolhnstanz-Zertifikat bzw Trust-Center-Zertifikat unter Verwendung des geheimen Schlüssels der Kontrolhnstanz zu erzeugen
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, Freischaltcode-Daten unter Verwendung des geheimen Schlüssels einer Freischaltcode-Stelle im Rahmen eines Pubhc-Key-Verfahrens zu signieren
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, ein Freischaltcodestelle-Signatur-Zertifikat unter Verwendung des geheimen Schlüssels der Kontrolhnstanz, des Trust-Centers, im Rahmen eines Public- Key-Verfahrens, zu erzeugen
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, das Trust-Center-Zertifikat in einer gegen Verfälschung und/oder Austausch geschützten Weise, wie in einem geschützten Speicher, Speicherbereich oder dgl , in dem Steuergerat zu speichern
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, das Freischaltcodestelle-Signatur-Zertifikat, das Software-Signatur- Zertifikat, die Freischaltcode-Daten und deren Signatur sowie die Software und deren Signatur in dem Steuergerat zu speichern
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, dass das Software-Signatur-Zertifikat eine oder mehrere Gultigkeitsbe- schrankungen, wie insbesondere eine Beschrankung auf einen oder mehrere Steuergeratetypen, aufweist Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, dass das Freischaltcodestelle-Signatur-Zertifikat eine oder mehrere Gul- tigkeitsbeschrankungen aufweist, wie insbesondere eine Beschrankung auf ein bestimmtes Steuergerat, das beispielsweise anhand einer in diesem unveränderlich gespeicherten Nummer, Kennung oder dgl individualisiert ist, oder die Fahrgestellnummer eines Fahrzeugs
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, dass das Software-Signatur-Zertifikat im Rahmen eines Public-Key- Verfahrens unter Verwendung des öffentlichen Schlüssels des Trust-Centers auf Unverfalschtheit überprüft wird
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, dass die signierte Software im Rahmen eines Pubhc-Key-Verfahrens unter Verwendung des im Software-Signatur-Zertifikat enthaltenen öffentlichen Schlusseis der Softwaresignatur-Stelle auf Unverfalschtheit überprüft wird
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, dass das Freischaltcodestelle-Signatur-Zertifikat im Rahmen eines Pub c- Key-Verfahrens unter Verwendung des öffentlichen Schlüssels des Trust-Centers auf Unverfalschtheit überprüft wird
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vorgesehen, dass die signierten Freischaltcode-Daten im Rahmen eines Pubhc-Key- Verfahrens unter Verwendung des im Freischaltcodestelle-Signatur-Zertifikats enthaltenen öffentlichen Schlüssels der Freischaltcodestelle auf Unverfalschtheit überprüft werden
Alternativ oder ergänzend ist bei einer weiteren Ausfuhrungsform der Erfindung vor- gesehen, dass das Steuergerat mit einem ablaufgesteuerten Mikroprozessor versehen ist, der eines der vorstehend beschriebenen Verfahren unter Verwendung des Pubhc-Key-Verfahrens ausfuhrt Die Erfindung wird nachfolgend anhand einer Zeichnung naher erläutert, wobei gleiche Bezugszeichen gleiche oder gleichwirkende Maßnahmen angeben Es zeigt
Fig 1 eine graphische Veranschau chung eines erfindungsgemaßen Verfah- rens zur Bereitstellung von Software zum Betrieb eines Steuergeräts in einem Fahrzeug, wie insbesondere ein Kraftfahrzeug oder Motorrad
Bei dem in Figur 1 dargestellten Ablaufschema 100, das von dem bekannten Pub c- Key-Verfahren Gebrauch macht, wird ein Programm-Code zur Ablaufsteuerung eines Steuergeräts 115, d h eine Steuergerät-Software 113, an eine sogenannte Software-Signaturstelle 105 zum Zwecke seiner Signatur übermittelt Bei dem Steuergerat 115 handelt es sich um eine programmgesteuerte Datenverarbeitungsein- nchtung, die bevorzugt einen programmierbaren Speicher und einen Mikroprozessor aufweist Anhand der Signatur kann erkannt werden, ob der Programm-Code nach der Signatur verändert bzw manipuliert worden ist Wie dies geschieht, wird im Folgenden naher erläutert
Unter einem Steuergerat soll insbesondere sowohl ein herkömmliches Steuergerat in einem Fahrzeug zum Steuern und/oder Regeln von Aktuatoren als auch die sons- tige programmgesteuerte Ausstattung eines Fahrzeugs verstanden werden, wie beispielsweise ein Kommunikations-System, ein Audio-System oder ein Navigations-System Obwohl derzeit eine Vielzahl von Steuergeraten für unterschiedliche Funktionen bzw Aktuatoren in Fahrzeugen vorgesehen sind, kann es sich bei einem erfindungsgemaßen Steuergerat auch um ein oder mehrere programmgesteu- erte Datenverarbeitungseinrichtungen handeln, die die Steuer- und/oder Regelaufgaben von mehr als einem Steuergerat übernehmen
Die Software-Signaturstelle 105 fordert bei einem sogenannten Trust-Center 101 des Fahrzeugherstellers, für dessen Fahrzeug das Steuergerat 115 bestimmt bzw in dessen Fahrzeug es eingebaut ist oder werden soll, ein Software-Signatur-
Zertifikat 120 an Bei der Software-Signaturstelle 105 handelt es sich bevorzugt um den Hersteller der Software 113, wobei dies bevorzugt auch der Hersteller des Steuergeräts 115 ist Unter Verwendung seines nicht-offentlichen, privaten Schlusseis 103 sowie des öffentlichen Schlüssels 108 der Software-Signaturstelle 103 erzeugt das Trust- Center 101 das Software-Signatur-Zertifkat 120 Dieses weist insbesondere den öffentlichen Schlüssel 108 der Software-Signaturstelle 105, bevorzugt ein oder meh- rere Gultigkeitsbeschrankungen, die nicht explizit dargestellt sind, und eine von dem Trust-Center 101 erzeugte Signatur 121 auf Die Signatur ermöglicht die Überprüfung, ob das Zertifikat nach seiner „Unterzeichnung" bzw Signatur verändert oder manipuliert worden ist
Bei einer von dem Steuergerat 115 auf ihre Erfulltheit hin überprüften Gultigkeitsbe- schrankung im Software-Signatur-Zertifikat 120, kann es sich insbesondere um eine Beschrankung betreffend eine Betriebsstundenzahl, eine Lauf- bzw Kilometer- Leistung, eine örtlich begrenzte Gültigkeit (in Bezug auf den Aufenthaltsort des Fahrzeugs), eine Zeitangabe oder Zeitdauer, ein oder mehrere Fahrzeugtypen, ein oder mehrere Steuergerate oder Steuergeratetypen, eine Fahrgestellnummer oder eine Steuergeratenummer handeln Bevorzugt weist das Software-Signatur- Zertifikat eine Beschrankung der Verwendbarkeit der Software auf ein oder mehrere Steuergeratetypen auf Eine weitere Beschrankung kann dann bestehen, dass der Hersteller einer Software diese nur dann in ein Steuergerat einschreiben bzw dort speichern oder zum Ablauf bringen kann, wenn der Hersteller der Software auch der Hersteller des Steuergeräts ist Die Überprüfung der ein oder mehreren Gultigkeitsbeschrankungen erfolgt bevorzugt durch einen im Steuergerat 115 vorgesehenen, ablaufgesteuerten Mikroprozessor (nicht dargestellt), wobei dessen Ablaufsteuerung bzw Software, entsprechend gestaltet ist
Das Trust-Center 101 erzeugt ferner unter Verwendung seines geheimen Schlüssels 103 ein Trust-Center-Signatur-Zertifikat 116, das insbesondere dessen öffentlichen Schlüssel 101 und eine unter Verwendung des geheimen Schlusseis 103 des Trust-Centers 101 erzeugte Signatur 117 aufweist
Die Software-Signaturstelle 105 erzeugt unter Verwendung ihres privaten bzw geheimen Schlüssels 109 und der Software 113 eine Signatur 114, anhand der vom Steuergerat, wie insbesondere durch einen programmgesteuerten Mikroprozessor, überprüft werden kann, ob die Software 113 nach deren Signierung mit der Signatur 114 verändert worden ist
Die Zertifikate 1 16 und 120 sowie die Software 113 und deren Signatur 114 werden in das Steuergerat 115 übertragen und dort gespeichert Die Speicherung des Trust- Center-Signatur-Zertifikats 116 erfolgt in einem geschützten Speicher oder Speicherbereich 122, der verhindert, dass das Trust-Center-Signatur-Zertifikat 116 verändert und/oder ausgetauscht werden kann
Wenn der Hersteller der Software und der Hersteller des Steuergeräts identisch sind, geschieht dies ganz oder teilweise bevorzugt durch den Hersteller vor der Auslieferung des Steuergeräts an den Fahrzeughersteller
Zur Aktualisierung der im Steuergerat gespeicherten Software oder zur Bereitstel- lung von zusätzlicher oder alternativer Software im Steuergerat 115 können erfin- dungsgemaß mehrere Wege zum Einbringen der Software in das Fahrzeug verwendet werden Dies kann beispielsweise bei einem Werkstattbesuch, z B über einen Diagnosestecker oder ein Kommunikations-Interface des Fahrzeugs, oder auch von einem an den Fahrzeugbesitzer ausgehandigten Datenträger, wie eine CD-ROM, DVD oder Chipkarte, erfolgen Die Software wird dann ggf über ein im Kraftfahrzeug vorgesehenes Lesegerat für den betreffenden Datenträger eingespielt
Bevor das Steuergerat 115 die an das Steuergerat 115 übertragene Software 113, ausfuhrt, prüft das Steuergerat 1 15 in einem ersten Schritt auf der Basis des Pubhc- Key-Verfahrens unter Verwendung des Software-Signatur-Zertifikats 120, das den öffentlichen Schlüssel 108 der Software-Signatur-Stelle 105 und die Signatur 121 des Trust-Centers 101 aufweist, und unter Verwendung des im geschützten Speicher oder Speicherbereich 122 gespeicherten öffentlichen Schlusseis 102 des Trust-Centers 101 , ob das Software-Signatur-Zertifikat 120 verändert bzw manipuliert worden ist
Falls dies nicht der Fall ist prüft das Steuergerat in einem zweiten Schritt auf der Basis des Pubhc-Key-Verfahrens unter Verwendung des öffentlichen Schlüssels 108 d»er Software-Signatur-Stelle 105, der im ersten Schritt unter Verwendung des ö.ffentlichen Schlüssels 102 des Trust-Centers 101 auf seine Unverändertheit hin überprüft worden ist, sowie unter Verwendung der Software 1 13 und der Signatur 1 14, ob die Software 113 verändert bzw. manipuliert worden ist.
ije positiv verlaufende Prüfung im ersten und zweiten Schritt, vorzugsweise von β-inem Prozessor (nicht dargestellt) des Steuergeräts, ist bei dem hier nachfolgend beschriebenen Ausführungsbeispiel eine erste notwendige jedoch nicht hinreichen- d'e Voraussetzung, damit die Software 113 von dem Steuergerät 115 ausgeführt vverden kann.
Bevorzugt wird beispielsweise von dem Steuergerät 1 15 bzw. einem in diesem vorgesehenen ablaufgesteuerten Mikroprozessor (nicht dargestellt) zudem überprüft, eine oder mehrere bevorzugt im Software-Signatur-Zertifikat 120 von dem Trust- Center 101 hinterlegte Gültigkeitsbeschränkungen bzw. Gültigkeitsvoraussetzun- Sen, wie insbesondere eine Betriebsstunden-Beschränkung der Verwendbarkeit des Zertifikats 120, erfüllt sind. Ggf. bildet die Erfulltheit der Gültigkeitsbeschränkungen l -zw. Gültigkeitsvoraussetzungen eine weitere Voraussetzung, damit die Software 1 13 von dem Steuergerät 15 ausgeführt werden kann.
Bei einem anderen Ausführungsbeispiel, auf das nicht weiter eingegangen wird, handelt es sich hierbei um die alleinigen bzw. hinreichenden Voraussetzungen für ctie Ausführung der Software durch das Steuergerät.
Balls nicht bereits im Steuergerät 115 oder im Fahrzeug gespeichert, wird die signierte Software, die die Steuergerät-Software 113 und die Software-Signatur 114 aufweist, und das mit dem öffentlichen Schlüssel 108 versehene Software-Signatur- ϊ ertifikat 120, ggf. mit weiterer Software, dem Besitzer eines Fahrzeugs auf einem Datenträger (nicht dargestellt), wie eine CD-ROM oder DVD, zur Verfügung gestellt. Auf dessen Dateninhalt kann beispielsweise über eine entsprechende Datenverar- t'eitungseinrichtung (nicht dargestellt), die mit mindestens einem Steuergerät eines Kraftfahrzeugs in Verbindung steht, zugegriffen werden. Im Folgenden wird angenommen, dass der Benutzer von der durch eine auf dem Datenträger verfugbaren Software bzw von der dadurch gebotenen Zusatz- Funktiona tat Gebrauch machen und die Software dementsprechend in ein oder mehrere Steuergerate laden und dort ablaufen lassen mochte
Bei dem hier behandelten, bevorzugten Ausfuhrungsbeispiel sind zu den vorgenannten Schritten zusätzliche Schritte erforderlich bzw Voraussetzungen zu erfüllen Im hier geschilderten Ausfuhrungsbeispiel nimmt der Besitzer des Fahrzeugs telefonisch oder per Internet aus dem Fahrzeug heraus Kontakt mit einer sogenann- ten Freischalt-Code-Stelle 104 auf Nachdem die Zahlungsmodalltaten geklart worden sind, wählt der Besitzer die betreffende freizuschaltende Software aus, übermittelt die Fahrgestellnummer und/oder eine das betreffende Steuergerat kennzeichnende Nummer oder dgl (wobei dies auch elektronisch durch Auslesen und Übermittlung aus den betreffenden ein oder mehreren Steuergeraten geschehen kann) und gibt im Falle einer zeitabhängigen Nutzungsgebuhr für die Software an, für welchen Zeitraum er die Nutzung der Software wünscht Auf der Basis dieser Nutzungs-Angaben, die mit dem Bezugszeichen 110 bezeichnet sind, werden sogenannte Freischalt-Code-Daten 11 1 generiert
Die Freischalt-Code-Stelle 104 fordert von dem Trust-Center 101 ein sogenanntes Freischaltcodestelle-Signatur-Zertifikat 118 an Unter Verwendung des öffentlichen Schlüssels 106 der Freischalt-Code-Stelle 104 und dem geheimen Schlüssel 103 des Trust-Centers 101 erzeugt das Trust-Center 101 das Freischaltcodestelle- Signatur-Zertifikat 1 18 auf der Basis des Pubhc-Key-Verfahrens
Ferner kann vorgesehen sein, dass die Software 1 13, die Signatur 114 und/oder eine hieraus abgeleitete Information oder Softwarenummer oder dgl bei der Freischalt-Code-Stelle 104 hinterlegt ist und/oder ganz oder teilweise in das Freischalt- codestelle-Signatur-Zertifikat 118 eingeht Das Freischaltcodestelle-Signatur- Zertifikat 118 weist insbesondere den öffentlichen Schlüssel 106 der Freischalt- Code-Stelle 104 und die vom Trust-Center 101 erzeugte Signatur 119 auf, anhand der überprüft werden kann, ob das Zertifikat 118 nach seiner „Unterzeichnung" bzw Signatur verändert oder manipuliert worden ist Bevorzugt weist das von dem Trust-Center 101 erzeugte Freischaltcodestelle- Signatur-Zertifikat 118 zudem ein oder mehrere Gultigkeitsbeschrankungen auf, die nicht explizit dargestellt sind
Bei einer von dem Steuergerat 115 auf ihre Erfulltheit hin überprüften Guitigkeitsbe- schrankung im Freischaltcodestelle-Signatur-Zertifikat 118, kann es sich insbesondere um eine Beschrankung betreffend eine Betriebsstundenzahl, eine Lauf- bzw Kilometer-Leistung, eine örtlich begrenzte Gültigkeit (in Bezug auf den Aufenthaltsort des Fahrzeugs), eine Zeitangabe oder Zeitdauer, ein oder mehrere Fahrzeugty- pen, ein oder mehrere Steuergerate oder Steuergeratetypen oder eine Fahrgestellnummer oder eine Steuergeratenummer handeln Bevorzugt weist das Freischalt- codestelle-Signatur-Zertifikat eine Beschrankung der Verwendbarkeit auf eine bestimmte, das Steuergerat individualisierende Steuergeratenummer oder eine Fahrgestellnummer auf Die Überprüfung der ein oder mehreren Gultigkeitsbeschran- kungen bzw Gultigkeitsvoraussetzungen erfolgt bevorzugt durch einen im Steuergerat 115 vorgesehenen ablaufgesteuerten Mikroprozessor (nicht dargestellt), wobei dessen Ablaufsteuerung bzw Software, entsprechend gestaltet ist
Ein bevorzugter Freischalt-Code weist die folgenden ganz oder teilweise von dem Steuergerat 1 15 überprüften und mit Referenzangaben verglichenen Informationsgruppen ganz oder teilweise auf Software-Identifikation, Fahrgestellnummer und/oder Steuergeratenummer, Gultigkeitsbeschrankung, wie insbesondere eine absolute Zeitangabe, eine Betriebsstundenzahl, Identifikation des Nachfragers nach dem Freischaltcode, z B ein Fahrzeug-Handler oder ein Fahrzeugbesitzer, Identifi- kation der den Freischaltcode erzeugenden Freischaitcode-Stelle, Datum der Erzeugung und Signatur
Beispielsweise kann die Beschrankung auch darin bestehen, dass die Freischalt- Code-Stelle Software und/oder Daten zur Verwendung durch ein im Fahrzeug vor- gesehenes Navigationssystem, wie insbesondere Kartendaten oder dgl , nicht aber Software oder Daten zur Änderung der Motorsteuerung und/oder zur Ablaufsteuerung (besonders) sicherheitsrelevanter Steuergerate freigeben kann Das von dem Trust-Center 101 erzeugte Freischaltcodestelle-Signatur-Zertifikat 118 und die Freischaltcode-Daten 111 sowie deren Signatur 112 werden in das Fahrzeug (nicht dargestellt) und nachfolgend in das betreffende Steuergerat 115 übertragen und dort gespeichert Die Übertragung erfolgt bevorzugt drahtlos, wie msbe- sondere über ein Mobilfunknetz und/oder eine Internet-Verbindung
Bevor das Steuergerat 1 5 die an das Steuergerat 115 übertragene Software 113 ausfuhrt, prüft das Steuergerat 115 in einem dritten Schritt auf der Basis des Pubhc- Key-Verfahrens unter Verwendung des Freischaltcodestelle-Signatur-Zertifikats 118, das den öffentlichen Schlüssel 106 der Freischaltcode-Stelle 104 und die Signatur 119 des Trust-Centers 101 aufweist, und unter Verwendung des im geschützten Speicher oder Speicherbereich 122 gespeicherten öffentlichen Schlüssels 102 des Trust-Centers 101 , ob das Freischaltcodestelle-Signatur-Zertifikat 118 verändert bzw manipuliert worden ist
Falls dies nicht der Fall ist, prüft das Steuergerat 115 in einem vierten Schritt auf der Basis des Pubhc-Key-Verfahrens unter Verwendung des öffentlichen Schlüssels 106 der Freischaltcodestelle-Stelle 104, der im dritten Schritt unter Verwendung des öffentlichen Schlüssels 102 des Trust-Centers 101 auf seine Unverandertheit hin überprüft worden ist, sowie unter Verwendung der Freischaltcode-Daten 111 und deren Signatur 1 12, ob die Freischaltcode-Daten 111 verändert bzw manipuliert worden ist
Bevorzugt wird beispielsweise von dem Steuergerat 115 bzw einem in diesem vor- gesehenen ablaufgesteuerten Mikroprozessor (nicht dargestellt) in einem fünften Schritt zudem überprüft, ob eine oder mehrere bevorzugt im Freischaltcodestelle- Signatur-Zertifikat 118 von dem Trust-Center 101 hinterlegte Gultigkeitsbeschrankungen bzw Gultigkeitsvoraussetzungen erfüllt sind Anderenfalls wird die Freigabe der Software oder deren Ablauf blockiert, wie insbesondere durch den Mikroprozes- sor Die positiv verlaufende Prüfung im dritten und vierten Schritt sowie ggf. die positive Prüfung im fünften Schritt, vorzugsweise von einem Prozessor (nicht dargestellt) des Steuergeräts, ist bei der beschriebenen, bevorzugten Ausführungsform der Er- findung die hinreichende Voraussetzung, damit die Software 113 von dem Steuergerät 115 ausgeführt werden kann.

Claims

Patentansprüche
Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuer- gerat eines Fahrzeugs, wie insbesondere ein Kraftfahrzeug oder Motorrad, dadurch gekennzeichnet, dass
- die Software vor ihrer Verwendung durch das Steuergerat unter Verwendung des geheimen bzw privaten Schlusseis einer Software-Signatursteile im Rahmen eines Pubhc-Key-Verfahrens gegen Verfälschung signiert wird, und - die signierte Software unter Verwendung des zu dem geheimen Schlüssel der Software-Signaturstelle komplementären öffentlichen Schlusseis auf ihre Unverfalschtheit hin überprüft wird
Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass ein Software- Signatur-Zertifikat unter Verwendung des öffentlichen Schlüssels der Software-Signaturstelle und des geheimen Schlusseis einer Kontrolhnstanz, eines sogenannten Trust-Centers, im Rahmen eines Pubhc-Key-Verfahrens, erzeugt wird
Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass ein Kon- trollinstanz-Zertifikat bzw Trust-Center-Zertifikat, im Rahmen eines Pubhc- Key-Verfahrens, unter Verwendung des geheimen Schlüssels der Kontrolhnstanz erzeugt wird
Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass Freischaltcode-Daten unter Verwendung des geheimen Schlüssels einer Freischaltcode-Stelle, im Rahmen eines Pubhc-Key-Verfahrens, signiert werden
Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass ein Freischaltcodestelle-Signatur-Zertifikat unter Verwendung des geheimen
Schlüssels der Kontrolhnstanz, des Trust-Centers, im Rahmen eines Pubhc- Key-Verfahrens, erzeugt wird Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass das Trust- Center-Zertifikat in einer gegen Verfälschung und/oder Austausch geschützten Weise, wie in einem geschützten Speicher, Speicherbereich oder dgl , gespeichert wird, wie insbesondere in dem Steuergerat
Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass das Freischaltcodestelle-Signatur-Zertifikat, das Software-Signatur-Zertifikat, die Freischaltcode-Daten und deren Signatur sowie die Software und deren Signatur in dem Steuergerat gespeichert werden
Verfahren nach einem der Ansprüche 2 oder 7, dadurch gekennzeichnet, dass das Software-Signatur-Zertifikat mit einer oder mehreren Gultigkeitsbeschrankungen, wie insbesondere eine Beschrankung auf einen oder mehrere Steuergeratetypen, versehen worden ist
Verfahren nach einem der Ansprüche 5 oder 7, dadurch gekennzeichnet, dass das Freischaltcodestelle-Signatur-Zertifikat eine oder mehrere Gultigkeitsbeschrankungen aufweist, wie insbesondere eine Beschrankung auf ein bestimmtes Steuergerat, das beispielsweise anhand einer in diesem unveran- derhch gespeicherten Nummer, Kennung oder dgl individualisiert ist, oder eine
Beschrankung auf die Fahrgestellnummer eines bestimmten Fahrzeugs
Verfahren nach einem der Ansprüche 2 oder 8, dadurch gekennzeichnet, dass das Software-Signatur-Zertifikat im Rahmen eines Pubhc-Key-Verfahrens unter Verwendung des öffentlichen Schlusseis des Trust-Centers auf Unverfalschtheit überprüft wird
Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die signierte Software im Rahmen eines Pubhc-Key-Verfahrens unter Verwendung des im Software-Signatur-Zertifikat enthaltenen öffentlichen
Schlüssels der Softwaresignatur-Stelle auf Unverfalschtheit überprüft wird
12. Verfahren nach einem der Ansprüche 5, 7 oder 9, dadurch gekennzeichnet, dass das Freischaltcodestelle-Signatur-Zertifikat im Rahmen eines Public-Key- Verfahrens unter Verwendung des öffentlichen Schlüssels des Trust-Centers auf Unverfälschtheit überprüft wird.
13. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die signierten Freischaltcode-Daten im Rahmen eines Public-Key-Verfahrens unter Verwendung des im Freischaltcodestelle-Signatur-Zertifikats enthaltenen öffentlichen Schlüssels der Freischaltcodestelle auf Unverfälschtheit überprüft werden.
14. Verfahren nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass das Steuergerat mit einem ablaufgesteuerten Mikroprozessor versehen ist, der eines der vorstehend beschriebenen Verfahren ausführt.
15. Steuergerät, insbesondere für ein Kraftfahrzeug oder Motorrad, dadurch gekennzeichnet, dass das Steuergerät ein Verfahren nach einem oder mehreren der vorstehenden Ansprüche ausführt.
16. Datenverarbeitungssystem, insbesondere für ein Kraftfahrzeug oder Motorrad, dadurch gekennzeichnet, dass das Datenverarbeitungssystem ein Verfahren nach einem oder mehreren der vorstehenden Ansprüche ausführt.
17. Computer-Programm-Produkt, insbesondere zur Ablaufsteuerung eines Steu- ergeräts oder eines Datenverarbeitungssystems eines Kraftfahrzeugs oder
Motorrads, dadurch gekennzeichnet, dass das Computer-Programm-Produkt ein Verfahren nach einem oder mehreren der vorstehenden Ansprüche ausführt.
18. Datenträger, dadurch gekennzeichnet, dass er ein Computer-Programm- Produkt nach Anspruch 17 aufweist.
PCT/EP2002/007398 2001-08-27 2002-07-04 Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs WO2003019337A2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN028169433A CN1549959B (zh) 2001-08-27 2002-07-04 提供由车辆控制设备所使用的软件的方法
EP02764624.9A EP1421460B1 (de) 2001-08-27 2002-07-04 Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs
JP2003523337A JP4486812B2 (ja) 2001-08-27 2002-07-04 車両の制御器により使用されるソフトウェアを提供するための方法
US10/786,224 US9262617B2 (en) 2001-08-27 2004-02-26 Method for providing software to be used by a control unit of a vehicle

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10140721.1 2001-08-27
DE10140721A DE10140721A1 (de) 2001-08-27 2001-08-27 Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US10/786,224 Continuation US9262617B2 (en) 2001-08-27 2004-02-26 Method for providing software to be used by a control unit of a vehicle

Publications (3)

Publication Number Publication Date
WO2003019337A2 true WO2003019337A2 (de) 2003-03-06
WO2003019337A3 WO2003019337A3 (de) 2004-01-29
WO2003019337A8 WO2003019337A8 (de) 2004-05-06

Family

ID=7695989

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2002/007398 WO2003019337A2 (de) 2001-08-27 2002-07-04 Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs

Country Status (6)

Country Link
US (1) US9262617B2 (de)
EP (1) EP1421460B1 (de)
JP (1) JP4486812B2 (de)
CN (1) CN1549959B (de)
DE (1) DE10140721A1 (de)
WO (1) WO2003019337A2 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1473614A2 (de) * 2003-04-29 2004-11-03 Volkswagen AG Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
EP1918839A1 (de) * 2006-11-03 2008-05-07 Siemens Aktiengesellschaft Modifizieren eines Softwarestands einer Steuergerätesoftware für ein Steuergerät und Erkennen einer solchen Modifikation
WO2009024373A2 (de) * 2007-08-22 2009-02-26 Siemens Aktiengesellschaft Verfahren zum prüfen einer auf einer ersten einrichtung auszuführenden oder zu installierenden version eines softwareproduktes
WO2010054920A1 (de) * 2008-11-11 2010-05-20 Continental Automotive Gmbh Vorrichtung zum steuern einer fahrzeugfunktion und verfahren zum aktualisieren eines steuergerätes
WO2010061261A1 (en) 2008-11-26 2010-06-03 Nokia Corporation Method, apparatus, and computer program product for managing software versions
DE102009025585A1 (de) 2009-06-19 2010-12-23 Audi Ag Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts
WO2012126547A1 (de) * 2011-03-22 2012-09-27 Audi Ag Kraftwagen-steuergerät mit kryptographischer einrichtung
CN105117652A (zh) * 2015-10-09 2015-12-02 天津国芯科技有限公司 一种基于NAND Flash的SOC启动方法

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10309507A1 (de) * 2003-03-05 2004-09-16 Volkswagen Ag Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges
KR100974419B1 (ko) 2003-07-04 2010-08-05 바이에리셰 모토렌 베르케 악티엔게젤샤프트 차량 제어 유닛에 로딩할 수 있는 소프트웨어 컴포넌트의인증 방법
DE10354107A1 (de) * 2003-07-04 2005-01-20 Bayerische Motoren Werke Ag Verfahren zur Authentifikation von insbesondere in ein Steuergerät eines Kraftfahrzeugs ladbaren Softwarekomponenten
DE10336148A1 (de) * 2003-08-07 2005-03-10 Bayerische Motoren Werke Ag Verfahren zum Signieren einer Datenmenge in einem Public-Key-System sowie ein Datenverarbeitungssystem zur Durchführung des Verfahrens
DE102007062160A1 (de) * 2007-12-21 2009-06-25 Hella Kgaa Hueck & Co. Verfahren zum Aktualisieren von Programmen und/oder Programmierungsdaten in Steuergeräten von Kraftfahrzeugen
US8090949B2 (en) * 2008-03-13 2012-01-03 GM Global Technology Operations LLC Certificate assignment strategies for efficient operation of the PKI-based security architecture in a vehicular network
EP2104269A1 (de) 2008-03-17 2009-09-23 Robert Bosch Gmbh Elektronische Steuereinheit (ECU) und Verfahren zur Überprüfung der Datenintegrität
DE102008043830A1 (de) * 2008-11-18 2010-05-20 Bundesdruckerei Gmbh Kraftfahrzeug-Anzeigevorrichtung, Kraftfahrzeug-Elektroniksystem, Kraftfahrzeug, Verfahren zur Anzeige von Daten und Computerprogrammprodukt
DE102012024818A1 (de) * 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
EP2996300B1 (de) * 2014-09-11 2018-11-07 The Boeing Company Computerimplementiertes verfahren zur analyse von x.509-zertifikaten in ssl/tls-kommunikationen und datenverarbeitungssystem
US10817609B2 (en) 2015-09-30 2020-10-27 Nvidia Corporation Secure reconfiguration of hardware device operating features
US20180113802A1 (en) * 2016-10-21 2018-04-26 Sivakumar Yeddnapuddi Application simulator for a vehicle
US10530816B2 (en) * 2017-05-18 2020-01-07 Nio Usa, Inc. Method for detecting the use of unauthorized security credentials in connected vehicles
EP3699794A1 (de) * 2017-08-10 2020-08-26 Argus Cyber Security Ltd. System und verfahren zur detektion der ausnutzung einer mit einem fahrzeuginternen netzwerk verbundenen komponente
DE102021129670A1 (de) 2021-11-15 2023-05-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren, Fahrzeugkomponente und Computerprogramm zum Einräumen einer Berechtigung zum Ausführen eines Computerprogramms durch eine Fahrzeugkomponente eines Fahrzeugs

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3922642A1 (de) * 1989-07-10 1991-01-24 Ant Nachrichtentech Verfahren zur verschluesselten datenuebertragung
DE69323926T2 (de) * 1992-05-15 1999-09-30 Addison M Fischer Verfahren und Vorrichtung zur Sicherheit eines Computersystem mit Programmberechtigungsdatenstrukturen
US6185546B1 (en) * 1995-10-04 2001-02-06 Intel Corporation Apparatus and method for providing secured communications
US5768389A (en) * 1995-06-21 1998-06-16 Nippon Telegraph And Telephone Corporation Method and system for generation and management of secret key of public key cryptosystem
TW313642B (en) * 1996-06-11 1997-08-21 Ibm A uniform mechanism for using signed content
US5825877A (en) * 1996-06-11 1998-10-20 International Business Machines Corporation Support for portable trusted software
US6138236A (en) * 1996-07-01 2000-10-24 Sun Microsystems, Inc. Method and apparatus for firmware authentication
US5844986A (en) * 1996-09-30 1998-12-01 Intel Corporation Secure BIOS
US5957985A (en) * 1996-12-16 1999-09-28 Microsoft Corporation Fault-resilient automobile control system
DE19747827C2 (de) * 1997-02-03 2002-08-14 Mannesmann Ag Verfahren und Einrichtung zur Einbringung eines Dienstschlüssels in ein Endgerät
FR2775372B1 (fr) * 1998-02-26 2001-10-19 Peugeot Procede de verification de la coherence d'informations telechargees dans un calculateur
DE19820605A1 (de) * 1998-05-08 1999-11-11 Giesecke & Devrient Gmbh Verfahren zur sicheren Verteilung von Software
JP2000010782A (ja) * 1998-06-18 2000-01-14 Hitachi Ltd クライアントコンポーネント間通信制御システム
US20020161709A1 (en) * 1998-09-11 2002-10-31 Michel Floyd Server-side commerce for deliver-then-pay content delivery
US6463535B1 (en) * 1998-10-05 2002-10-08 Intel Corporation System and method for verifying the integrity and authorization of software before execution in a local platform
US6330670B1 (en) * 1998-10-26 2001-12-11 Microsoft Corporation Digital rights management operating system
DE19920744A1 (de) * 1999-05-05 2000-11-16 Siemens Ag Verfahren zur Sicherung der Echtheit von Produkten
DE19922946A1 (de) * 1999-05-14 2000-11-23 Daimler Chrysler Ag Verfahren zum Einbringen von Authentikationsdaten auf eine Hardwareeinheit
WO2000072149A1 (en) * 1999-05-25 2000-11-30 Motorola Inc. Pre-verification of applications in mobile computing
US6959382B1 (en) * 1999-08-16 2005-10-25 Accela, Inc. Digital signature service
DE10008973B4 (de) * 2000-02-25 2004-10-07 Bayerische Motoren Werke Ag Autorisierungsverfahren mit Zertifikat

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1473614A2 (de) * 2003-04-29 2004-11-03 Volkswagen AG Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
EP1473614A3 (de) * 2003-04-29 2009-04-15 Volkswagen AG Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
EP1918839A1 (de) * 2006-11-03 2008-05-07 Siemens Aktiengesellschaft Modifizieren eines Softwarestands einer Steuergerätesoftware für ein Steuergerät und Erkennen einer solchen Modifikation
WO2009024373A2 (de) * 2007-08-22 2009-02-26 Siemens Aktiengesellschaft Verfahren zum prüfen einer auf einer ersten einrichtung auszuführenden oder zu installierenden version eines softwareproduktes
WO2009024373A3 (de) * 2007-08-22 2009-07-02 Siemens Ag Verfahren zum prüfen einer auf einer ersten einrichtung auszuführenden oder zu installierenden version eines softwareproduktes
WO2010054920A1 (de) * 2008-11-11 2010-05-20 Continental Automotive Gmbh Vorrichtung zum steuern einer fahrzeugfunktion und verfahren zum aktualisieren eines steuergerätes
WO2010061261A1 (en) 2008-11-26 2010-06-03 Nokia Corporation Method, apparatus, and computer program product for managing software versions
EP2368206A1 (de) * 2008-11-26 2011-09-28 Nokia Corporation Verfahren, vorrichtung und computerprogrammprodukt zur verwaltung von softwareversionen
EP2368206A4 (de) * 2008-11-26 2014-02-26 Nokia Corp Verfahren, vorrichtung und computerprogrammprodukt zur verwaltung von softwareversionen
US9256728B2 (en) 2008-11-26 2016-02-09 Nokia Technologies Oy Method, apparatus, and computer program product for managing software versions
DE102009025585A1 (de) 2009-06-19 2010-12-23 Audi Ag Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts
DE102009025585B4 (de) * 2009-06-19 2012-08-16 Audi Ag Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts
WO2012126547A1 (de) * 2011-03-22 2012-09-27 Audi Ag Kraftwagen-steuergerät mit kryptographischer einrichtung
US9479329B2 (en) 2011-03-22 2016-10-25 Audi Ag Motor vehicle control unit having a cryptographic device
CN105117652A (zh) * 2015-10-09 2015-12-02 天津国芯科技有限公司 一种基于NAND Flash的SOC启动方法

Also Published As

Publication number Publication date
CN1549959A (zh) 2004-11-24
EP1421460B1 (de) 2016-02-17
WO2003019337A3 (de) 2004-01-29
US9262617B2 (en) 2016-02-16
US20040230803A1 (en) 2004-11-18
JP4486812B2 (ja) 2010-06-23
DE10140721A1 (de) 2003-03-20
EP1421460A2 (de) 2004-05-26
JP2005501328A (ja) 2005-01-13
CN1549959B (zh) 2010-05-26
WO2003019337A8 (de) 2004-05-06

Similar Documents

Publication Publication Date Title
WO2003019337A2 (de) Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs
DE102008021030B4 (de) Verfahren zum Betreiben eines Fahrzeugs sowie entsprechende Vorrichtung und entsprechendes Fahrzeug
DE102013108022A1 (de) Verfahren zum Aktivieren des Entwicklungsmodus eines gesicherten elektronischen Steuergeräts
DE102013108020A1 (de) Authentifizierungsschema zum Aktivieren eines Spezial-Privileg-Modus in einem gesicherten elektronischen Steuergerät
EP2432663A1 (de) Aktivierbare und deaktiviebare programmfunktionen
DE102007022100B4 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
EP2332313A2 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
DE102011010627A1 (de) Verfahren zur Programmierung eines Mobilendgeräte-Chips
EP1743304B1 (de) Dokumentation von servicemassnahmen an einem kraftfahrzeug
DE112018007132T5 (de) Fahrzeuginternes Funktionszugriffkontrollsystem, fahrzeuginterne Vorrichtung und fahrzeuginternes Funktionszugriffkontrollverfahren
EP2038805B1 (de) Verfahren zum delegieren von privilegien an eine niedriger-privilegierte instanz durch eine höher-privilegierte instanz
EP1652337B1 (de) Verfahren zum signieren einer datenmenge in einem public-key-system sowie ein datenverarbeitungssystem zur durchführung des verfahrens
EP1642185A1 (de) Verfahren zur authentifikation von einer insbesondere in ein steuergerät eines kraftfahrzeugs ladbaren softwarekomponente
EP1634472B1 (de) Chipkarte mit wenigstens einer applikation
DE102007039809A1 (de) Verfahren und Bordnetz zur Aktualisierung der Software in mindestens einem Steuergerät eines Kraftfahrzeugs mit einem USB-Speicherstick
EP3101875B1 (de) Ändern von einstellungen einer auf einem mobilen endgerät laufenden applikation
DE102019005545A1 (de) Verfahren zum Betreiben eines Maschinendatenkommunikationsnetzwerks, sowie Maschinendatenkommunikationsnetzwerk
DE69912494T2 (de) Verfahren zur Überprüfung der Kohärenz von auf einen Rechner ferngeladener Information
DE102008039121A1 (de) Verfahren zur Codierung einer Zeichenkette für ein Fahrzeug sowie entsprechend ausgestaltetes Steuergerät und Fahrzeug
DE10354107A1 (de) Verfahren zur Authentifikation von insbesondere in ein Steuergerät eines Kraftfahrzeugs ladbaren Softwarekomponenten
DE102009058754A1 (de) Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät
DE102016008613A1 (de) Verfahren zum Installieren eines Steuerprogramms eines Steuergeräts eines Kraftfahrzeugs und Einsetzvorrichtung
DE10309507A1 (de) Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges
DE102013223124A1 (de) Verfahren zur Übertragung und externen Konfiguration personenbezogener Kraftfahrzeugfunktionseinstellungen
EP3306507B1 (de) Komponente für eine sicherheitskritische funktionskette

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): CN JP

Kind code of ref document: A2

Designated state(s): CN JP US

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LU MC NL PT SE SK TR

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FR GB GR IE IT LU MC NL PT SE SK TR

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2002764624

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 10786224

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 20028169433

Country of ref document: CN

Ref document number: 2003523337

Country of ref document: JP

WR Later publication of a revised version of an international search report
WWP Wipo information: published in national office

Ref document number: 2002764624

Country of ref document: EP