WO2017108818A1 - System und verfahren zur übergabe von fahrzeug-zugriffsrechten - Google Patents

System und verfahren zur übergabe von fahrzeug-zugriffsrechten Download PDF

Info

Publication number
WO2017108818A1
WO2017108818A1 PCT/EP2016/081965 EP2016081965W WO2017108818A1 WO 2017108818 A1 WO2017108818 A1 WO 2017108818A1 EP 2016081965 W EP2016081965 W EP 2016081965W WO 2017108818 A1 WO2017108818 A1 WO 2017108818A1
Authority
WO
WIPO (PCT)
Prior art keywords
token
vehicle
control device
information
stored
Prior art date
Application number
PCT/EP2016/081965
Other languages
English (en)
French (fr)
Inventor
Uwe KÄUFER
Sven Gennermann
Original Assignee
Huf Hülsbeck & Fürst Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huf Hülsbeck & Fürst Gmbh & Co. Kg filed Critical Huf Hülsbeck & Fürst Gmbh & Co. Kg
Priority to DE112016005864.0T priority Critical patent/DE112016005864A5/de
Publication of WO2017108818A1 publication Critical patent/WO2017108818A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/2018Central base unlocks or authorises unlocking

Definitions

  • the invention relates to a system and an associated
  • the invention relates to a system and method to provide complete control over access rights to a
  • Vehicle from one person to another person to transfer, in particular, to a transfer of ownership or permanent
  • these keys are handed over in full by the previous owner or dealer to the new owner. This allows the new owner or owner to be sure that he alone has complete control of the vehicle and access to the vehicle.
  • Access information that is transmitted to a vehicle and has access to be designated as non-physical key itself For example, appropriate
  • a vehicle For example, be transmitted to a vehicle by radio with short range to get access to the vehicle.
  • Corresponding systems are known in the field of car-sharing, but are also increasingly adopted in vehicles with continuous use.
  • the access information as disembodied data
  • a smartphone can be equipped with the additional function of a vehicle key.
  • the management of such access information allows far-reaching rights hierarchies, for example the rights of the vehicle owner
  • storable data information can basically be copied without loss of quality and a rights holder can in principle also assign sub-rights in accordance with a hierarchical rights assignment, a problem arises when taking over a vehicle. A future owner who buys a vehicle can not be sure he will
  • the object of the invention is therefore to make a vehicle transition with associated rights transfer safer and more transparent, the vehicles from unauthorized access
  • Accessibility via disembodied, non-physical keys is usually the owner of a vehicle and the one who assigns, limits or revokes the rights of use of the vehicle.
  • Such an authorized person is usually set up in a central server system, which is vehicle-related
  • Authorization information stores and wherein the vehicles can come into contact with such a server system for data exchange.
  • the user can with his permission Set up substitute identities in the system that also have authorizations for the vehicle and, if necessary, can assign their own, hierarchically subordinate rights to the vehicle.
  • the vehicle itself can basically save and maintain its own copies of the authorization information.
  • Server e.g. an update of authorization information
  • authorization information is stored in the vehicle, which allow the examination of an access authorization.
  • This authorization information can be regularly synchronized with a central location, the server. From the vehicle locally made changes can be transferred to the central system, so that
  • Authorization information is local and synchronized in the remote system. While the rights are controlled in the central system by appropriate user interface parts, e.g. via Internet-based access or mobile
  • token for the vehicle transfer from an old owner to a new owner is a physical, ie physical owner token used.
  • token is generally used in this application
  • Such a token has an interface for coupling with the vehicle and its
  • Such an interface may in particular be a wireless interface, but it may also be a proprietary or standardized interface with a galvanic coupling via metallic contacts.
  • this physical token takes one
  • the vehicle can be placed on the basis of the key information stored in the token in a state in which a complete right deletion or rights change with the highest access rights is possible.
  • these data similar to a previous physical key, associated with each other in production of the vehicle.
  • the safe environment of the vehicle manufacturer is used to store the information on the token and store information associated with the vehicle.
  • data encrypted and certified by the manufacturer can be stored. Then the integrity of the data from the token can later be checked on the vehicle side.
  • the data on the token can be encrypted so that they can only be decrypted in the assigned vehicle.
  • the token is not required for normal usage operation and driving, but can be safely stored by the owner or owner, when coupled with the vehicle it is the access means for full access to the usage rights of the vehicle.
  • the transfer of the token from a previous user to a new user allows a secure and complete transfer.
  • Identification information e.g. B. store an identification code (PIN) or biometric data in the vehicle. If this is successful, all previous ones
  • Authorization information is deleted in the vehicle's memory and the new owner is stored as the sole authorized person in the vehicle.
  • the new owner then takes over the token and can work in the
  • Which type of information is stored on the token is basically arbitrary. However, it has proven useful to use robust and well-known encryption systems, in particular asymmetric encryption systems.
  • a public key of a key pair can be stored in the vehicle and the token carries a corresponding private key.
  • the token is checked on the vehicle side whether a suitable key combination exists. This can be done, for example, by encoded by the token with the private key
  • Coding or decoding could take a few seconds or even minutes, if this ensures a high level of security.
  • the coupling between the token and the vehicle may be via a conventional interface, e.g. B. USB interface
  • the token may be coupled as an NFC wireless chip to an NFC interface mobile phone, which in turn may then establish communication (e.g., via Bluetooth or WiFi) with the vehicle system and act as an intermediary.
  • An operation of the system can then z. B. via the mobile phone or via a user interface on the vehicle, such as a touch screen.
  • a physical volume as a physical token that stores key information that legitimates the complete extinction or modification of authorization data on the vehicle.
  • This token must be connectable to the vehicle system, either directly or with the aid of a
  • Coupling device Full control over the authorization data stored in the vehicle then has the user who owns the token. This way will provided the same security as with the previous physical keys.
  • Identification code is stored. An owner of one
  • the vehicle must therefore have its own vehicle pickup
  • Enter identification code for example via a PIN code or a biometric fingerprint or a
  • the token has a so-called secure memory, so that the control over the token alone does not allow easy reading of the stored data.
  • the data may be encrypted on the token using a key stored on-board. Then, only with coupling of the token with the vehicle, a decryption of the data
  • the token has an NFC interface or a
  • Display device which indicates a state information.
  • a display can, for example, in
  • Action statement or status information is output. It is also possible, for example, to use a display with stable readings, for example an e-paper display which, even in the storage state of the token, displays status information over several years, for example the date of the
  • the token is designed in several parts. This means having multiple physical units each stored
  • This design is particularly advantageous when used as a token physical
  • Units are used with multipurpose. Particularly suitable is the use of multiple (e.g., two) vehicle radio keys, which are manufactured with a vehicle and
  • each of the radio keys an associated key information may be included.
  • each Key information individually is not enough to enable access to the deletion of the previous authorization information when coupled with the vehicle. However, if several (or all) key at the same time or within a predetermined period of the vehicle interrogated, so the previous owner has brought all the keys in the vehicle, then all key information in the vehicle within a given time window or even read in parallel and it will be Access to the
  • Time span in this embodiment should be a few seconds to a maximum of several tens of seconds, e.g. 10 seconds or 30 seconds or one minute.
  • the coupling of the multi-part token can be done via separate interfaces (e.g.
  • Figure 1 shows schematically the components of a first
  • FIG. 2 shows a flow chart of a second embodiment of the system and method according to the invention.
  • a token 1 is designed as a data carrier with a USB interface. Token 1 is separate from an associated one Vehicle 2 is formed and separate from this vehicle. 2
  • the token 1 is a on the vehicle. 2
  • Token 1 in this example, is a USB-powered system with flash memory and firmware for execution on a microcontroller that communicates with the device
  • Control device 3 handles.
  • vehicle-side user menu starts the communication of the controller 3 with the token. 1
  • a challenge / response dialogue between the vehicle and the token is subsequently carried out.
  • the control device 3 sends an encrypted message to the token 1, wherein the
  • control device 3 accesses a memory 4 in the vehicle with a part of the asymmetrical part stored there
  • token 1 the message is decrypted with a stored, corresponding second part of the asymmetric key pair.
  • tokens 1 and control device 3 were equipped with an individual key pair when manufacturing the vehicle, whereby token 1 and control device 3 are paired with associated memory 4.
  • the controller encrypts a randomly generated message or message
  • Vehicle was stored encrypted when this owner took possession of the vehicle.
  • the PIN can also be stored encrypted in the token and be from where it is read and decrypted on the vehicle side.
  • Authorization information (user rights), including its PIN from the memory 4 safely deleted and the new PIN of the new user 6 is stored, this user as a new owner with full access to the
  • the control device 3 sends the
  • central rights management server where the transfer is stored centrally.
  • FIG. 2 shows a flow chart showing the
  • the token is a volume with a wireless interface. According to this special
  • Vehicle control unit 11 is to build, which also has a Bluetooth interface.
  • the token has an autonomous energy source, in particular a battery or a
  • the token could be supplied to the coupling process by the vehicle, this can be the token
  • a supply interface that allows a power supply via a cigarette lighter, a USB port on the vehicle or other supply line.
  • the token 10 and the vehicle control unit 11 are at
  • Vehicle manufacturing coupled with each other, so that one
  • Bluetooth connection can be established without user input.
  • the token is a push button is formed, which sends a reset command 20 from the token 10 to the vehicle control unit 11 with existing Bluetooth connection with the vehicle control unit 11.
  • This reset command 20 initiates a program sequence in the vehicle control unit 11, which may result in full access to all authorization information stored in the vehicle.
  • the reset command itself may already be a token coded command, so that only the authorized token 10 at all a reset command 20 to the
  • Vehicle control unit 11 can send. Again, it should be noted that tokens 10 and vehicle control unit 11 have been mated together in vehicle manufacture, such that
  • Matched key information can be stored in the two components.
  • step 21 When the vehicle control unit 11 receives the appropriate reset command 20, it asks in step 21 about a
  • User interface for example, a touch screen or be another control panel, which is arranged in the vehicle anyway.
  • the previous owner has assigned the personal PIN when taking over his vehicle or entered it in the vehicle when buying the vehicle.
  • step 22 the previous owner 12 enters his PIN on the vehicle control unit 11.
  • This PIN is compared with the stored PIN and upon successful comparison, a stored key information is read out of the token 10 by the vehicle control unit 11 in step 23.
  • a data sequence stored coded to the token is read out and decoded in the vehicle control unit 11.
  • the principle of asymmetric keys can be used, wherein in the token 10 a part of an asymmetric key is stored and in the
  • Vehicle control unit 11 is another part of an asymmetric key. Upon successful decoding, the token 10 is identified as authorized and in step 24 full access to the authorization information and deletion is achieved
  • step 25 the new owner is prompted in step 25, in turn, to give a PIN. This will be required if the new owner hand over the vehicle to a subsequent owner at a later date.
  • step 26 the new owner enters a PIN. Only if there is a valid new PIN entry and the authorization has been made by verification of the token, the process can continue. This may require a step by step confirmation from the owner.
  • the vehicle control unit deletes all previous owners and saves the new owner as the authorized owner of the vehicle.
  • the token also passes into the possession of the new owner, so that he can be sure that without his participation, no deletion or change in this way in the vehicle is possible.
  • Access to the vehicle is still stored in the vehicle.
  • the vehicle may in such cases, in which the vehicle is under centralized rights management, the
  • the vehicle will refuse any change of rights originating from a period prior to the reset. This is particularly important if, for example, the transfer of the vehicle takes place in an area in which no coupling with the central office
  • Network connection exists (eg a parking garage or a
  • token is not essential in this context. It may, however, z. B. to act a conventional radio key, which is supplemented by the function of the token in the context of this invention. Alternatively, it can be a smart card or copy-protected USB storage.
  • Authorization information in the vehicle control system as well as in the token allows a very secure authorization check in the rare process of ownership change. This can also, as described in the example, coupled with an additional personal identification of the old owner and the new owner to increase the security in addition.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Ein System zur Änderung von Benutzungsrechten für ein Kraftfahrzeug, wobei am Kraftfahrzeug (2) eine Steuereinrichtung (3) mit gespeicherten Identitätsinformationen und identitätsbezogenen Benutzungsrechten in einem Schreib-Lese-Speicher (4) vorgesehen ist. Ein mobiles physisches Token (1) weist einen Datenspeicher auf, wobei in dem Datenspeicher Zugangsinformationen gespeichert sind und wobei das Token (1) eine Schnittstelle zur unmittelbaren oder mittelbaren Kopplung mit der Steuereinrichtung (3) hat. Die Steuereinrichtung (3) ist ausgebildet, um bei Kopplung des Tokens (1) mit der Steuereinrichtung und in Abhängigkeit von einer Prüfung der im Token gespeicherten Zugangsinformation eine dauerhafte Löschung oder Änderung der Identitätsinformationen und identitätsbezogenen Benutzungsrechten freizugeben.

Description

System und Verfahren zur Übergabe von Fahrzeug-Zugriffsrechten
Die Erfindung betrifft ein System und ein zugehöriges
Verfahren zur Übergabe von Fahrzeug-Zugriffsrechten.
Insbesondere betrifft die Erfindung ein System und Verfahren, um die vollständige Kontrolle über die Zugriffsrechte auf ein
Fahrzeug, von einer Person auf eine andere Person zu übertragen, insbesondere, um einen Eigentumsübergang oder dauerhaften
Besitzerwechsel zu vollziehen.
Bei Fahrzeugen wird eine Übergabe des Fahrzeuges von einem berechtigten Besitzer oder Eigentümer an einen neuen
berechtigten Besitzer oder Eigentümer bislang durch
entsprechende Dokumente oder Registrierungen vollzogen. Meist wird dabei ein Autorisierungsmittel zum Zugang und zur Kontrolle über das Fahrzeug übergeben. Bei Fahrzeugen, welche einen physischen Schlüssel, beispielsweise einen mechanischen
Schlüssel oder einen Funkschlüssel, aufweisen, werden diese Schlüssel vom bisherigen Besitzer oder Händler an den neuen Besitzer vollzählig übergeben. Damit kann der neue Besitzer oder Eigentümer sicher sein, dass ausschließlich er die vollständige Kontrolle über das Fahrzeug und einen Zugang zum Fahrzeug hat.
Bei Fahrzeugen neuerer Generation werden die Zugangsmittel jedoch zunehmend körperlos (virtuelle Schlüssel). Dies bedeutet, dass die Zugangskontrolle durch einen Datenaustausch mit dem Fahrzeug erfolgt, so dass die entsprechenden
Zugangsinformationen, welche an ein Fahrzeug übermittelt werden und Zugang zu erhalten, selbst als nicht-physische Schlüssel zu bezeichnen sind. Beispielsweise können entsprechende
Zugangsinformationen auf Mobiltelefonen oder mobilen Computern gespeichert sein und über drahtlose Funkverbindungen,
beispielsweise per Funk mit kurzer Reichweite an ein Fahrzeug übermittelt werden, um einen Zugang zum Fahrzeug zu erhalten. Entsprechende Systeme sind im Bereich des Car-Sharing bekannt, werden jedoch auch zunehmend bei Fahrzeugen mit Dauerbenutzung übernommen. Da die Zugangsinformationen als körperlose Daten vorliegen, kann z.B. ein Smartphone mit der Zusatzfunktion eines Fahrzeugschlüssels ausgestattet werden. Die Verwaltung solcher Zugangsinformationen erlaubt weitreichende Rechtehierarchien, z.B. die Rechtevergabe des Fahrzeugbesitzers an
Familienmitglieder, wobei jedes Familienmitglied eine eigene Schlüsselkopie mit zugeordneten, individuellen Rechten erhält. Beispiele für Zugangssysteme mit virtuellen Schlüssel sind z.B. aus der EP 2606621A1 oder auch der DE 102009035654A1 bekannt.
Da körperlose, speicherbare Dateninformationen grundsätzlich ohne Qualitätsverlust kopierbar sind und ein Rechteinhaber grundsätzlich auch gemäß einer hierarchischen Rechtevergabe Unterrechte vergeben kann, stellt sich bei der Übernahme eines Fahrzeuges ein Problem. Ein zukünftiger Eigentümer, der ein Fahrzeug übernimmt, kann sich nicht sicher sein, dass er
tatsächlich über sämtliche Zugangsberechtigungen in Kenntnis gesetzt wird und dass diese bestehenden Rechte tatsächlich bei Fahrzeugübergabe unwirksam gemacht werden. Während er bei einer Schlüsselübergabe von physischen Schlüsseln deren
Vollständigkeit kontrollieren kann, und eine Vervielfältigung dieser physischen Schlüssel nur schwer möglich ist, ist dies bei körperlosen Zugangsmitteln nämlich nicht der Fall.
Aufgabe der Erfindung ist es daher, einen Fahrzeugübergang mit zugehöriger Rechteübergabe sicherer und transparenter zu gestalten, wobei die Fahrzeuge vor unzulässigem Zugriff
geschützt werden.
Diese Aufgabe wird gelöst durch ein System mit den Merkmalen des Patentanspruchs 1 sowie ein Verfahren mit den Merkmalen des Patentanspruches 8.
Bei Fahrzeugen mit digitalen Berechtigungssystemen und
Zugangsmöglichkeiten über körperlose, nicht physische Schlüssel, ist meist der Besitzer eines Fahrzeuges auch derjenige, der die Benutzungsrechte am Fahrzeug zuteilt, beschränkt oder entzieht. Ein solcher Berechtigter wird üblicherweise in einem zentralen Serversystem eingerichtet, welches fahrzeugbezogene
Berechtigungsinformationen speichert und wobei die Fahrzeuge in Kontakt mit einem solchen Serversystem zum Datenaustausch treten können. Der Benutzer kann mit seiner Berechtigung Stellvertreteridentitäten im System einrichten, die ebenfalls über Berechtigungen zum Fahrzeug verfügen und ggf. selbst eigene, hierarchisch nachgeordnete Rechte am Fahrzeug vergeben können. Das Fahrzeug selbst kann grundsätzlich eigene Kopien der Berechtigungsinformationen speichern und vorhalten. Ein
Datenaustausch zwischen einem Fahrzeug und einem zentralen
Server, z.B. eine Aktualisierung von Berechtigungsinformationen, kann ggf. durch Nutzung von entsprechenden Softwarezertifikaten gesichert sein.
Wesentlich ist, dass im Fahrzeug Berechtigungsinformationen gespeichert sind, welche die Prüfung einer Zugangsberechtigung erlauben. Diese Berechtigungsinformationen können regelmäßig mit einer zentralen Stelle, dem Server, synchronisiert werden. Auch vom Fahrzeug aus können lokal vorgenommene Änderungen auf das zentrale System überspielt werden, so dass
Berechtigungsinformationen lokal und im entfernten System synchronisiert vorliegen. Während die Kontrolle der Rechte in dem zentralen System durch geeignete Nutzerschnittsteilen erfolgt, z.B. über Internetbasierte Zugänge oder mobile
Applikationen, erfolgt eine Fahrzeugübergabe gemäß der Erfindung jedoch unmittelbar am Fahrzeug.
Nach der Übernahme eines Fahrzeuges muss der neue Besitzer oder Eigentümer Gewissheit haben, dass die vom vorherigen
Besitzer oder Eigentümer eingerichteten digitalen Berechtigungen gelöscht oder unwirksam gemacht wurden. Außerdem muss
sichergestellt werden, dass der bisherige Fahrzeugbesitzer oder Eigentümer und auch dessen gegebenenfalls vorhandenen
Stellvertreter nicht mehr in der Lage sind, an Berechtigungen Veränderungen vorzunehmen.
Eine solche klare Übergangsdefinition ist außerdem wichtig, um die Versicherungspflicht und Verantwortlichkeit jederzeit lückenlos klarstellen zu können. Es muss dem neuen Besitzer möglich sein, die vollständige Kontrolle über das Fahrzeug unmittelbar zu erhalten und die Kontrolle der vorherigen
Benutzer und Besitzer vollständig zu unterbinden.
Gemäß der Erfindung wird für den Fahrzeugübergang von einem alten Besitzer auf einen neuen Besitzer ein physischer, also körperlicher Owner-Token verwendet. Unter dem Begriff „Token" ist im Rahmen dieser Anmeldung allgemein ein
Identifizierungsmittel mit Speichermitteln und gespeicherten Schlüsselinformationen zu verstehen. Ein solches Token weist eine Schnittstelle zur Kopplung mit dem Fahrzeug und dessen
Steuersystem auf. Eine derartige Schnittstelle kann insbesondere eine drahtlose Schnittstelle sein, es kann sich jedoch auch um eine proprietäre oder standardisierte Schnittstelle mit einer galvanischen Kopplung über metallische Kontakte handeln.
Gemäß der Erfindung nimmt dieses physische Token eine
Funktion ein, welche den Schlüsselübergang von körperlichen Schlüsseln oder auch einen Dokumentenübergang ergänzt oder ersetzt. Das Fahrzeug kann anhand der im Token gespeicherten Schlüsselinformationen in einen Zustand versetzt werden, in welchem eine vollständige Rechtelöschung oder Rechteveränderung mit höchsten Zugriffsrechten möglich ist. Das Fahrzeug
akzeptiert dieses Token also als Autorität zur umfassenden
Speicherung, Löschung oder Veränderung von
Berechtigungsinformationen auf das Fahrzeug. Dazu sind in dem Token Schlüsselinformationen als Daten gespeichert, die in dem Steuersystem des Fahrzeuges die Freigabe auf diese
Berechtigungsinformationen erlauben .
Fahrzeugseitig und Token-seitig werden diese Daten, ähnlich einem bisherigen physischen Schlüssel, bei Herstellung des Fahrzeuges einander zugeordnet. Dazu wird die sichere Umgebung des Fahrzeugherstellers genutzt, um die Informationen auf dem Token zu speichern und in dem Fahrzeug zugeordnete Informationen zu speichern. Insbesondere können dazu verschlüsselte und vom Hersteller zertifizierte Daten gespeichert werden. Dann kann fahrzeugseitig später die Integrität der Daten aus dem Token überprüft werden. Außerdem können die Daten auf dem Token derart verschlüsselt werden, dass sie nur im zugeordneten Fahrzeug entschlüsselt werden können.
Nur der Hersteller des Fahrzeugs hat die Möglichkeit, die Schlüsselinformationen, welche einem spezifischen Fahrzeug zugeordnet sind, zu erstellen. Während das Token für den üblichen Benutzungsbetrieb und Fahrbetrieb nicht erforderlich ist, sondern vom Besitzer oder Eigentümer sicher verwahrt werden kann, ist es bei Kopplung mit dem Fahrzeug das Zugangsmittel zum vollständigen Zugriff auf die Benutzungsrechte des Fahrzeuges. Die Übergabe des Tokens von einem bisherigen Benutzer auf einen neuen Benutzer ermöglicht den sicheren und vollständigen Rechtsübergang.
In welcher Weise dieser Rechtsübergang vollzogen wird, ist in vielfältiger Gestaltung möglich. Beispielsweise ist es möglich, bei der Übergabe des Fahrzeuges vom alten Benutzer eine Kopplung des Tokens mit dem Fahrzeug durchführen zu lassen, woraufhin das Fahrzeug die Schlüsselinformationen des Tokens ausliest, verifiziert und im Erfolgsfall eine vom bisherigen Besitzer individuell vergebene Identifikation abfragt, ggf. auch biometrische Informationen. Diese können im Token gespeichert sein, und zum Abgleich vom Fahrzeug ausgelesen werden. Ist auch diese Autorisierung erfolgreich, ist der neue Besitzer des
Fahrzeuges aufgefordert, seinerseits
Identifikationsinformationen, z. B. eine Identifikationskennung (PIN) oder biometrische Daten im Fahrzeug abzuspeichern. Ist dies erfolgreich, werden sämtliche bisherigen
Berechtigungsinformationen im Speicher des Fahrzeugs gelöscht und der neue Besitzer wird als allein Berechtigter im Fahrzeug gespeichert .
Ist das Fahrzeug in eine zentrale Rechtverwaltung mit einem entfernten Server eingebunden, werden diese
Berechtigungsinformationen vom Fahrzeug an den zentralen Server zur Rechteverwaltung übermittelt. Dabei kann eine
Schlüsselinformation aus dem Token zusammen mit den Rechten an den Server gesendet werden, so dass der zentrale Server die Berechtigung verifizieren kann. Wesentlich ist, dass bei
Verwendung des Tokens am Fahrzeug unmittelbar sichtbar ist, dass es sich um das zum Fahrzeug gehörige Token handelt und die bisherigen Benutzungsrechte dauerhaft zu löschen sind. Diese Rechteänderung wird im Falle eines zentral verwalteten Systems vom Fahrzeug mit hohen Privilegien an den Server übermittelt, so dass dort gespeicherte Berechtigungsinformationen überschrieben werden. Außerdem nimmt das Fahrzeug danach vom Server keine Rechteveränderungen mehr an, die auf einen Zeitpunkt vor der Übertragung datieren.
Der neue Besitzer übernimmt dann das Token und kann im
Weiteren über die üblichen körperlosen Zugriffsmittel auf das Fahrzeug zugreifen. Wesentlich ist, dass bei Fahrzeugübergabe vom alten an den neuen Benutzer die Übergabe und Änderung sämtlicher Berechtigungsinformationen in Anwesenheit des Tokens am Fahrzeug stattfindet und in diesem Falle das Fahrzeug durch das Token in die Lage versetzt wird, die Benutzungsrechte grundlegend zu ändern. Dies ist vorteilhaft gegenüber Systemen, bei denen eine neue zentrale Registrierung durchgeführt werden muss, da ein Fahrzeugübergang beim Verkauf oder einer Schenkung mit Hilfe des Tokens durch die beteiligten Parteien autonom durchzuführen ist.
Eine Neuerstellung des Tokens ist im Falle des Verlustes erforderlich. Dann muss ein Eigentümer des Fahrzeuges die
Neuerstellung des Tokens beim Hersteller anfordern. Dieser kann anhand der in der sicheren Umgebung des Herstellers
gespeicherten Information zu dem Fahrzeug einen diesem Fahrzeug zugeordnetes Token herstellen. Bei zentral verwalteten Systemen ist es bei dem Verlust des Tokens ggf. möglich, eine Sperrung oder Löschung des Tokens am Fahrzeug zu veranlassen. Dies kann z.B. über Personal eines autorisierten Vertriebspartners
erfolgen. Diese können über die Rechte verfügen, im Fahrzeug ein bisheriges Token zu sperren. Bis ein neues Token in der sicheren Umgebung des Fahrzeugherstellers erstellt wurde, ist dann keine Nutzung eines Tokens am Fahrzeug möglich.
Welcher Art die Informationen sind, die auf dem Token gespeichert sind, ist grundsätzlich beliebig. Allerdings hat es sich bewährt, robuste und bekannte Verschlüsselungssysteme, insbesondere asymmetrische Verschlüsselungssysteme zu verwenden. In diesem Fall kann beispielsweise im Fahrzeug ein öffentlicher Schlüssel eines Schlüsselpaares gespeichert sein und das Token trägt einen entsprechenden privaten Schlüssel. Bei Kopplung des Token mit dem Fahrzeug wird fahrzeugseitig geprüft, ob eine passende Schlüsselkombination vorliegt. Dies kann z.B. erfolgen, indem vom Token eine mit dem privaten Schlüssel codierte
Information an das Fahrzeug gesendet wird und dort decodiert wird. Es ist zu beachten, dass hierbei durchaus sehr sichere Schlüssel großer Schlüssellänge verwendet werden können, da der Vorgang bei Fahrzeugübergabe stattfindet und nicht im
regelmäßigen Betrieb des Fahrzeuges. Es ist also für einen
Benutzer regelmäßig akzeptabel, dass eine entsprechende
Codierung oder Decodierung einige Sekunden oder sogar Minuten in Anspruch nehmen könnte, wenn dadurch eine große Sicherheit gewährleistet ist.
Die Kopplung zwischen dem Token und dem Fahrzeug kann über eine herkömmliche Schnittstelle, z. B. USB-Schnittstelle
stattfinden, es kann stattdessen aber auch ein
batteriebetriebenes System im Token eingesetzt werden, welches zu einer Bluetooth-Kommunikation oder einer drahtlosen
Netzwerkverbindung anderer Art fähig ist. Auch eine passive Kommunikation, beispielsweise über einen NFC-Chip oder einer sonstigen Transponderlösung kann als Datenträgertoken eingesetzt werden. Schließlich ist es ebenfalls möglich, für den
Kommunikationsaufbau ein Kommunikationsgerät zu verwenden, mit welchem das Token gekoppelt wird. Beispielsweise kann das Token als drahtloser NFC-Chip mit einem Mobiltelefon mit NFC- Schnittstelle gekoppelt werden, wobei das Mobiltelefon dann seinerseits eine Kommunikation (z.B. über Bluetooth oder WiFi) mit dem Fahrzeugsystem aufbauen kann und als Vermittler dient. Eine Bedienung des Systems kann dann z. B. über das Mobiltelefon oder über eine Benutzerschnittstelle am Fahrzeug, beispielsweise einem Touchscreen erfolgen.
Gemäß der Erfindung ist es wesentlich, einen physischen Datenträger als physisches (körperliches) Token einzusetzen, welches Schlüsselinformationen speichert, die zur vollständigen Auslöschung oder Änderung von Berechtigungsdaten am Fahrzeug legitimieren. Dieses Token muss mit dem Fahrzeugsystem koppelbar sein, entweder unmittelbar oder mit Hilfe einer
Kopplungseinrichtung. Die vollständige Kontrolle über die im Fahrzeug gespeicherten Berechtigungsdaten hat dann derjenige Benutzer, welcher das Token besitzt. Auf diese Weise wird dieselbe Sicherheit zur Verfügung gestellt, wie es sie bei den bisherigen physischen Schlüsseln gab.
In einer bevorzugten Ausführungsform der Erfindung ist fahrzeugseitig oder im Token eine Identifikationskennung
gespeichert, welche mit dem Owner-Token verknüpft ist. Um die Benutzungsrechte im Fahrzeug zu löschen oder zu ändern, ist es erforderlich, dass jederzeit eine entsprechende
Identifikationskennung hinterlegt ist. Ein Besitzer eines
Fahrzeuges muss also bei Fahrzeugübernahme eine eigene,
individuelle Identifikationskennung, beispielsweise in Gestalt einer PIN oder einer biometrischen Information hinterlegen. Dies stellt sicher, dass eine Rechtelöschung selbst in Anwesenheit des Tokens nur möglich ist, wenn der legitime bisherige Inhaber den Rechtübergang durch Eingabe der Identifikationskennung freigibt. Wie oben beschrieben, würden bei Eigentumsübergang des Fahrzeuges beispielsweise alter und neuer Eigentümer jeweils gemeinsam die Rechtelöschung und Rechteneueinrichtung in
Gegenwart des mit dem Fahrzeug gekoppelten Tokens vollziehen. Der alte Benutzer würde den Token mit dem Fahrzeug koppeln und seine zugehörige, ursprünglich gespeicherte
Identifikationskennung eingeben, beispielsweise über einen PIN- Code oder über einen biometrischen Fingerabdruck oder eine
Gesichtserkennung. Der neue Besitzer sorgt dafür, dass daraufhin eine neue Identifikationskennung eingegeben wird, die vom
Fahrzeug gespeichert wird. Ist dies geschehen, werden die alte Kennung sowie alle alte Nutzungsrechte gelöscht und es ist ausschließlich der neue Besitzer in Kombination mit dem
übergebenen Token in der Lage, seinerseits einen Übergang des Fahrzeuges auf eine weitere Person zu legitimieren.
In einer bevorzugten Ausführungsform wird die
Datenverbindung des Tokens mit dem Fahrzeugsystem als
verschlüsselte Datenverbindung aufgebaut. Zur Verschlüsselung können Zertifikate und Schlüssel eingesetzt werden, die bei Herstellung des Fahrzeuges fahrzeugseitig und tokenseitig gespeichert wurden.
Es ist bevorzugt, wenn das Token über einen sogenannten sicheren Speicher verfügt, so dass die Kontrolle über das Token allein kein einfaches Auslesen der gespeicherten Daten ermöglicht. Beispielsweise können die Daten auf dem Token verschlüsselt vorliegen, wobei ein Schlüssel verwendet ist, der fahrzeugseitig gespeichert wird. Dann kann nur bei Kopplung des Tokens mit dem Fahrzeug eine Entschlüsselung der Daten
vorgenommen werden, wozu der im Fahrzeug gespeicherte Schlüssel verwendet wird.
In einer besonders bevorzugten Gestaltung der Erfindung verfügt das Token über eine NFC-Schnittstelle oder eine
Bluetooth-Schnittstelle. Da Fahrzeuge neuer Generationen über eine der genannten Schnittstellen verfügen, ist eine Kopplung des Tokens mit dem Fahrzeug über diese standardisierten
Schnittstellen besonders einfach möglich.
Es ist außerdem vorteilhaft, wenn das Token einer
Anzeigeeinrichtung aufweist, die eine Zustandsinformation angibt. Über eine solche Anzeige kann beispielsweise im
Ruhezustand oder auch im gekoppelten Zustand eine
Handlungsanweisung oder Statusinformation ausgegeben werden. Es ist beispielsweise auch möglich, eine haltestabile Anzeige einzusetzen, beispielsweise ein e-Paper-Anzeige, welche auch im Aufbewahrungszustand des Tokens über mehrere Jahre hinweg eine Statusinformation anzeigt, beispielsweise das Datum der
Fahrzeugübernahme und eine Kennung des aktuellen Nutzers, ggf. auch eine Erinnerungsphrase für eine hinterlegte
Identifikationskennung .
In einer weiteren Ausführungsform der Erfindung, ist das Token mehrteilig ausgebildet. Dies bedeutet, dass mehrere physische Einheiten mit jeweils gespeicherten
Schlüsselinformationen zeitgleich am Fahrzeug vorhanden und gekoppelt sein müssen, um eine Löschung der
Berechtigungsinformationen vorzunehmen. Diese Gestaltung ist insbesondere dann vorteilhaft, wenn als Token physische
Einheiten mit Mehrzweck eingesetzt werden. Besonders geeignet ist die Nutzung von mehreren (z.B. zwei) Fahrzeug- Funkschlüsseln, die mit einem Fahrzeug gefertigt und
ausgeliefert werden. In jedem der Funkschlüssel kann eine zugeordnete Schlüsselinformation enthalten sein. Jede Schlüsselinformation einzeln für sich genügt nicht, um bei Kopplung mit dem Fahrzeug den Zugriff auf die Löschung der bisherigen Berechtigungsinformationen freizugeben. Sind jedoch mehrere (oder alle) Schlüssel zeitgleich oder innerhalb einer vorgegebenen Zeitspanne vom Fahrzeug abfragbar, hat also der bisherige Besitzer sämtliche Schlüssel mit in des Fahrzeug gebracht, dann können alle Schlüsselinformationen im Fahrzeug innerhalb eines vorgebenen Zeitfensters oder sogar parallel ausgelesen werden und es wird der Zugrif auf die
Berechtigungsinformationen freigegeben. Eine vorgegebene
Zeitspanne im Rahmen dieser Ausgestaltung sollte einige Sekunden bis höchstens einige zehn Sekunden betragen, z.B. 10 Sekunden oder 30 Sekunden oder eine Minute.
In dieser Gestaltung kann die Kopplung des mehrteiligen Tokens über separate Schnittstellen erfolgen (z.B. können die
Schlüssel hierzu NFC-Komponenten aufweisen) , es können aber auch die üblichen Funkschnittstellen der Funkschlüssel verwendet werden. Zum Beispiel kann nach Anwahl eines Menüpunktes im
Bedienmenü des Fahrzeuges zur Löschung oder Rücksetzung der Berechtigungsinformationen dazu aufgefordert werden, innerhalb einer vorgebenen Zeitspanne (siehe oben) eine Bedientaste an jedem der Schlüssel zu betätigen. Wird fahrzeugseitig
registriert, dass sämtliche erforderlichen Schlüssel vorhanden sind und innerhlab der vorgegebenen Zeitspanne betätigt wurden, kann die auf den Schlüsseln vorhandene kombinierte
Schlüsselinformation verwendet werden, um den Zugriff auf die Löschung der Berechtigungsinformationen zu erhalten.
Die Erfindung wird nun anhand der beiliegenden Figuren näher erläutert .
Figur 1 zeigt schematisch die Komponenten einer ersten
Ausführungsform des erfindungsgemäßen Verfahrens und Systems;
Figur 2 zeigt einen Ablaufplan einer zweiten Ausführungsform des erfindungsgemäßen Systems und Verfahrens.
In Figur 1 sind die Komponenten des erfindungsgemäßen
Systems und Verfahrens gezeigt.
Ein Token 1 ist als Datenträger mit USB-Schnittstelle ausgebildet. Das Token 1 ist getrennt von einem zugeordneten Fahrzeug 2 ausgebildet und separat von diesem Fahrzeug 2
aufzubewahren. Das Token 1 ist über eine am Fahrzeug 2
vorhandene USB-Schnittstelle mit einer Steuereinrichtung 3 im Fahrzeug koppelbar. Die Steuereinrichtung 3 steuert das Token zum Datenaustausch an. Das Token 1 ist in diesem Beispiel ein über die USB-Schnittstelle mit Spannung versorgtes System mit einem Flash-Speicher und einer Firmware zur Ausführung auf einem Micro Controller, welcher die Kommunikation mit der
Steuereinrichtung 3 abwickelt.
Das Einstecken des Tokens 1 in die fahrzeugseitige
Schnittstelle und ein Aufruf eines Menüpunktes in einem
fahrzeugseitigen Benutzermenü startet die Kommunikation der Steuereinrichtung 3 mit dem Token 1.
Es wird im weiteren ein Challenge/Response-Dialog zwischen Fahrzeug und Token durchgeführt. Die Steuereinrichtung 3 sendet eine verschlüsselte Nachricht an das Token 1, wobei die
Verschlüsselung mit einem ersten Teil eines asymmetrischen
Schlüsselpaares mit größer Bitlänge von 256 Bit erfolgt. Die Steuereinrichtung 3 greift dazu auf einen Speicher 4 im Fahrzeug zu, um mit einem dort gespeicherten Teil des asymmetrischen
Schlüssels die Nachricht an das Token zu verschlüsseln. Im Token 1 wird mit einem gespeicherten, korrespondierenden zweiten Teil des asymmetrischen Schlüsselpaares die Nachricht entschlüsselt. Es ist zu beachten, dass Token 1 und Steuereinrichtung 3 bei Herstellung des Fahrzeuges mit einem individuellen Schlüsselpaar ausgestattet wurden, wodurch Token 1 und Steuereinrichtung 3 mit zugehörigem Speicher 4 gepaart sind. Die Steuereinrichtung verschlüsselt eine zufällig generierte Nachricht oder eine
Nachricht, die auf Zustandsdaten des Fahrzeuges oder einem Datum oder der Uhrzeit basiert. Es wird also bei jeder Kommunikation eine andere Nachricht verschlüsselt.
Im Token 1 erfolgt eine Entschlüsselung der Nachricht, welche anschließen unverschlüsselt an die Steuereinrichtung 3 zurück übermittelt wird. Dort wird die Nachricht mit der
verschlüsselt gesendeten Nachricht verglichen und das Token 1 als zum Fahrzeug zugehörig authentifiziert. Auf die genannte Weise hat das Fahrzeug keinen Zugriff auf den geheimen Schlüsselteil im Token 1, welcher jederzeit nur im Token selbst verwendet wird.
Sobald das Token
Figure imgf000014_0001
Besitzer 5 des Fahrzeuges aufgefordert, über eine
Bedienoberfläche des Fahrzeuges eine persönliche PIN einzugeben. Diese wird mit einer gespeicherten PIN verglichen, die im
Fahrzeug verschlüsselt gespeichert wurde, als dieser Besitzer das Fahrzeug in Besitz genommen hat. Alternativ kann die PIN auch in dem Token verschlüsselt gespeichert und sein, von wo sie fahrzeugseitig ausgelesen und entschlüsselt wird.
Ist auch diese Prüfung erfolgreich, wird der neue Besitzer 6 aufgefordert, eine neue persönliche PIN zu vergeben.
Anschließend werden alle zu dem Benutzer 5 gehörigen
Berechtigungsinformationen (Benutzerrechte) , einschließlich dessen PIN aus dem Speicher 4 sicher gelöscht und die neue PIN des neuen Benutzers 6 wird gespeichert, wobei dieser Benutzer als neuer Besitzer mit umfassenden Zugriffsrechten auf das
Fahrzeug gespeichert wird.
Die Steuereinrichtung 3 sendet die
Berechtigungsinformationen zu den neuen Benutzungsrechten und der Löschung der bisherigen Rechte anschließend an einen
zentralen Server zur Rechteverwaltung, wo der Rechtsübergang zentral gespeichert wird.
Es ist zu beachten, dass das Fahrzeug ab dem Zeitpunkt der
Rechtelöschung von der zentralen Stelle des Server 7 keine
Synchronisierungen von Benutzungsrechten akzeptiert, sofern diese auf Autorisierung des Benutzers 5 erfolgt sind oder auf einen Zeitpunkt vor dem Übergang datieren.
In Figur 2 ist ein Ablaufplan gezeigt, der die
chronologische Abfolge von Informationsaustauschvorgängen zwischen Stationen eines zweiten Ausführungsbeispiels des erfindungsgemäßen Systems und erfindungsgemäßen Verfahrens zeigt .
Dargestellt ist ein Token 10, welches in
Informationsaustausch mit einer Fahrzeugsteuereinheit 11 tritt. Außerdem sind als Informationsträger ein bisheriger Besitzer 12 eines Fahrzeuges und ein neuer Besitzer 13 eines Fahrzeuges gezeigt .
In dieser Ausführungsform ist das Token ein Datenträger mit einer drahtlosen Schnittstelle. Gemäß diesem speziellen
Ausführungsbeispiel handelt es sich um ein Token mit einer
Bluetooth-Schnittstelle, über welche eine Kopplung mit der
Fahrzeugsteuereinheit 11 aufzubauen ist, die ebenfalls über eine Bluetooth-Schnittstelle verfügt. Das Token weist eine autonome Energiequelle auf, insbesondere eine Batterie oder einen
ladbaren Akku. Alternativ könnte das Token zum Kopplungsvorgang auch vom Fahrzeug versorgt werden, dazu kann das Token
beispielsweise eine Versorgungsschnittstelle aufweisen, die eine Stromversorgung über einen Zigarettenanzünder, eine USB- Schnittstelle am Fahrzeug oder eine sonstige Versorgungsleitung erlaubt.
Das Token 10 und die Fahrzeugsteuereinheit 11 sind bei
Fahrzeugherstellung miteinander gekoppelt, so dass eine
Bluetooth-Verbindung ohne Benutzereingabe etabliert werden kann. Am Token ist eine Drucktaste ausgebildet, welche bei bestehender Bluetooth-Verbindung mit der Fahrzeugsteuereinheit 11 ein Reset- Kommando 20 vom Token 10 an die Fahrzeugsteuereinheit 11 sendet. Dieses Reset-Kommando 20 initiiert in der Fahrzeugsteuereinheit 11 ein Programmablauf, der einen voll umfänglichen Zugriff auf sämtliche im Fahrzeug gespeicherten Berechtigungsinformationen zur Folge haben kann. Das Reset-Kommando selbst kann bereits ein im Token codiertes Kommando sein, so dass nur das autorisierte Token 10 überhaupt ein Reset-Kommando 20 an die
Fahrzeugsteuereinheit 11 senden kann. Es ist wiederum darauf hinzuweisen, dass Token 10 und Fahrzeugsteuereinheit 11 bei Fahrzeugherstellung miteinander gepaart wurden, so dass
aufeinander abgestimmte Schlüsselinformationen in den beiden Bestandteilen hinterlegt sein können.
Empfängt die Fahrzeugsteuereinheit 11 das passende Reset- Kommando 20, so fragt sie in Schritt 21 über eine
Benutzerschnittstelle der Fahrzeugsteuereinheit 11 die Eingabe einer PIN vom bisherigen Besitzer 12 ab. Die
Benutzerschnittstelle kann beispielsweise ein Touchscreen oder ein sonstiges Bedienfeld sein, welches ohnehin im Fahrzeug angeordnet ist. Der bisherige Besitzer hat die persönliche PIN bei seiner Fahrzeugübernahme vergeben oder beim Fahrzeugkauf im Fahrzeug eingegeben.
Im Schritt 22 gibt der bisherige Besitzer 12 seine PIN an der Fahrzeugsteuereinheit 11 ein. Diese PIN wird mit der gespeicherten PIN verglichen und bei erfolgreichem Vergleich wird in Schritt 23 eine gespeicherte Schlüsselinformation von der Fahrzeugsteuereinheit 11 aus dem Token 10 ausgelesen. In dieser Ausführungsform wird eine dem Token codiert gespeicherte Datenfolge ausgelesen und in der Fahrzeugsteuereinheit 11 decodiert. Dazu kann wiederum das Prinzip von asymmetrischen Schlüsseln verwendet werden, wobei im Token 10 ein Teil eines asymmetrischen Schlüssels gespeichert ist und in der
Fahrzeugsteuereinheit 11 ein anderer Teil eines asymmetrischen Schlüssels. Bei erfolgreicher Decodierung wird das Token 10 als autorisiert erkannt und in Schritt 24 wird der vollständige Zugriff auf die Berechtigungsinformationen und Löschung
sämtlicher Benutzungsprivilegien im Fahrzeug freigegeben.
Bevor eine Löschung oder Änderung der
Berechtigungsinformationen erfolgt, wird der neue Besitzer in Schritt 25 aufgefordert, seinerseits eine PIN zu vergeben. Diese wird erforderlich sein, wenn der neue Besitzer seinerseits zu einem späteren Zeitpunkt das Fahrzeug an einen nachfolgenden Besitzer übergibt. In Schritt 26 gibt der neue Besitzer eine PIN ein. Nur wenn eine gültige neue PIN-Eingabe vorliegt und die Autorisierung durch Verifikation des Tokens erfolgt ist, kann der Vorgang weitergeführt werden. Dazu kann eine schrittweise Bestätigung des Besitzers erforderlich sein. Liegen als letzten Schritt löscht die Fahrzeugsteuereinheit sämtliche bisherigen Besitzer und speichert den neuen Besitzer als autorisierten Besitzer des Fahrzeuges. Das Token geht außerdem in den Besitz des neuen Besitzers über, so dass sich dieser sicher sein kann, dass ohne sein Mitwirken keine Löschung oder Änderung auf diesem Wege im Fahrzeug möglich ist.
Durch die Bindung der Löschung sämtlicher bisherigen
Benutzungsrechte an ein körperliches Token und dessen Übergabe zusammen mit dem Fahrzeug an einen neuen Besitzer wird eine vertrauenswürdige Transaktion sichergestellt. Der Besitzer des Tokens kann, unter Verwendung seiner PIN, jederzeit die Löschung sämtlicher bisheriger Rechte initiieren, und kann sich daher sicher sein, dass keine verbleibenden digitalen Rechte zum
Zugriff auf das Fahrzeug weiterhin im Fahrzeug gespeichert sind.
Das Fahrzeug kann für solche Fälle, in denen das Fahrzeug einer zentralen Rechteverwaltung unterstellt ist, die
Rücksetzung und vollständige Löschung aller bisherigen
Berechtigungsinformationen an die zentrale Stelle weitergeben. Außerdem lehnt das Fahrzeug vom Zeitpunkt der Rücksetzung aus sämtlichen Rechteänderungen ab, die aus einem Zeitraum vor der Rücksetzung stammen. Dies ist insbesondere dann wichtig, wenn beispielsweise die Übergabe des Fahrzeuges in einem Bereich erfolgt, in dem keine Kopplung mit dem zentralen
Rechteverwaltungssystem besteht, beispielsweise keine
Netzverbindung besteht (z. B. einen Parkhaus oder einer
Tiefgarage) . Die Übergabe des Tokens und der Rücksetzungsvorgang sichern dem neuen Besitzer dennoch zu, dass der alte Besitzer auch später nicht über ein zentrales Verwaltungssystem Rechte am Fahrzeug einrichten, ändern oder einschränken kann.
Wesentlich gemäß der Erfindung ist es, dass ein körperliches Token, welches nur mit erheblichem Aufwand oder auch gar nicht kopierbar ist, zusammen mit dem Fahrzeug bei einem
Besitzerwechsel übergeben wird. Dieses Token ist zwar unnötig für einen Betrieb des Fahrzeuges, es verleiht jedoch die
Berechtigung, sämtliche gespeicherten Benutzungsrechte des
Fahrzeuges zurückzusetzen und dieses gleichsam in einen
ursprünglichen Zustand ohne Benutzungsrechte zu versetzen. Von welcher Art das Token ist, ist in diesem Zusammenhang nicht wesentlich. Es kann sich jedoch z. B. um einen herkömmlichen Funkschlüssel handeln, der um die Funktion des Tokens im Sinne dieser Erfindung ergänzt ist. Alternativ kann es sich um eine Smartcard oder einen kopiergeschützten USB-Speicher handeln.
Die herstellerseitige Abstimmung der
Berechtigungsinformationen im Fahrzeugsteuersystem als auch im Token erlaubt eine äußerst sichere Autorisierungsprüfung bei dem seltenen Vorgang des Besitzerwechsels. Dieser kann außerdem, im Beispiel beschrieben, mit einer zusätzlichen persönlichen Identifikationskennung des alten Besitzers und des neuen Besitzers gekoppelt werden, um die Sicherheit zusätzlich zu erhöhen .

Claims

Patentansprüche
1. System zur Änderung von Benutzungsrechten für ein Kraftfahrzeug, aufweisend,
ein Kraftfahrzeug (2) mit einer Steuereinrichtung (3), wobei zum Zugriff durch die Steuereinrichtung
Berechtigungsinformationen in einem Schreib-Lese-Speicher (4) gespeichert sind,
ein physisches Token (1), welches einen Datenspeicher aufweist, wobei in dem Datenspeicher Schlüsselinformationen gespeichert sind,
wobei das Token (1) eine Schnittstelle zur unmittelbaren oder mittelbaren Kopplung mit der Steuereinrichtung (3) aufweist,
wobei die Steuereinrichtung (3) ausgebildet ist, um bei
Kopplung des Tokens (1) mit der Steuereinrichtung und in Abhängigkeit von einer Prüfung der im Token gespeicherten Schlüsselinformationen eine dauerhafte Löschung oder Änderung der Berechtigungsinformationen freizugeben.
2. System nach Anspruch 1, wobei das Token die
Schlüsselinformationen in verschlüsselter Form speichert und wobei ein Schlüssel zum Entschlüsseln der Zugangsinformation in der Steuereinrichtung im Fahrzeug gespeichert ist.
3. System nach einem der vorangehenden Ansprüche, wobei das Token ein Teil eines asymmetrischen Schlüsselpaares speichert und wobei ein korrespondierender anderer Teil desselben asymmetrischen Schlüsselpaares in der
Steuereinrichtung gespeichert ist.
4. System nach einem der vorangehenden Ansprüche, wobei das Token eine drahtlose Schnittstelle aufweist, insbesondere eine Schnittstelle nach einem Standard zur passiven Nahfeld- Kommunikation, insbesondere eine NFC-Schnittstelle .
5. System nach einem der vorangehenden Ansprüche, wobei in der Steuereinrichtung wenigstens eine Token- Berechtigungskennung gespeichert ist, welche mit einer
Benutzereingabe verglichen wird, bevor auf die im Token gespeicherten Schlüsselinformationen zugegriffen wird oder bevor eine dauerhafte Löschung oder Änderung der
Berechtigungsinformationen freigegeben wird.
6. System nach einem der vorangehenden Ansprüche, wobei das Token mehrere physische Komponenten aufweist, die jeweils einen Teil der Schlüsselinformationen speichern, wobei die Steuereinrichtung ausgebildet ist, um mit jeder der mehreren physischen Komponenten des Token gleichzeitig oder innerhalb einer vorgegebenen Zeitspanne zu koppeln und die jeweiligen Schlüsselinformationen zu prüfen, wobei in Abhängigkeit von einer Prüfung sämtlicher Schlüsselinformationen eine
dauerhafte Löschung oder Änderung der
Berechtigungsinformationen erfolgt .
7. System nach Anspruch 6, wobei die mehreren physischen Komponenten jeweils als Funkschlüssel für das Fahrzeug
ausgebildet sind.
8. Verfahren zum Ändern von Benutzungsrechten für ein
Kraftfahrzeug, wobei ein Kraftfahrzeug eine Steuereinrichtung aufweist, wobei in der Steuereinrichtung
Berechtigungsinformationen in einem Schreib-Lese-Speicher gespeichert sind,
aufweisend die Schritte:
Koppeln eines physischen Tokens mit der Steuereinrichtung, wobei das Token einen Datenspeicher aufweist, in dem
Schlüsselinformationen gespeichert sind,
Verifizieren von Authentifizierungsinformationen aus dem Token in der Steuereinrichtung,
Prüfen der Authentifizierungsinformationen in der
Steuereinrichtung, und Löschen oder Ändern der Berechtigungsinformationen in der Steuereinrichtung in Abhängigkeit von der Prüfung.
9. Verfahren nach Anspruch 8, wobei das Koppeln des Tokens durch eine drahtlose Kopplung des Tokens mit einer drahtlosen Kopplungseinrichtung der Steuereinrichtung durchgeführt wird, insbesondere durch Aufbau einer kurzreichweitigen drahtlosen Funkverbindung .
10. Verfahren nach Anspruch 8 oder 9, wobei beim Koppeln des Tokens mit der Steuereinrichtung von der Steuereinrichtung eine zusätzliche erste Token-Berechtigungskennung durch eine Benutzereingabe abgefragt wird, wobei das Löschen oder Ändern der Berechtigungsinformationen in Abhängigkeit von einer
Prüfung der Token-Berechtigungskennung erfolgt.
11. Verfahren nach Anspruch 10, wobei nach erfolgreicher Prüfung der ersten Token-Berechtigungskennung eine
Benutzereingabe einer zweiten Token-Berechtigungskennung erfolgt, wobei die zweite Token-Berechtigungskennung dauerhaft in der Steuereinrichtung gespeichert wird und die erste Token- Berechtigungskennung aus dem Speicher der Steuereinrichtung gelöscht wird.
12. Verfahren nach einem der Ansprüche 10 bis 11, wobei die Token Berechtigungskennung eine biometrische Information aufweist .
13. Verfahren nach einem der Ansprüche 8 bis 12, wobei das Löschen oder Ändern der Berechtigungsinformationen eine dauerhafte Löschung sämtlicher gespeicherter Benutzungsrechte umfasst .
14. Verfahren nach einem der Ansprüche 8 bis 13, wobei das Löschen oder Ändern der Berechtigungsinformationen eine
Speicherung neuer Berechtigungsinformationen umfasst.
15. Verfahren nach einem der Ansprüche 8 bis 14, wobei das Löschen oder Ändern der Berechtigungsinformationen eine drahtlose Übermittlung der geänderten Daten von der
Steuereinrichtung des Fahrzeugs an eine entfernte
Verwaltungseinrichtung umfasst, wobei ein fahrzeugseitiges Kommunikationssystem zur Übermittlung verwendet wird.
16. Verfahren nach einem der Ansprüche 8 bis 15, wobei das Token durch mehrere physische Komponenten gebildet wird, die jeweils einen Teil der Schlüsselinformationen speichern,
wobei die mehreren physischen Komponenten des Token gleichzeitig oder innerhalb einer vorgegebenen Zeitspanne mit der Steuereinrichtung gekoppelt werden und die jeweiligen Schlüsselinformationen übertragen und geprüft werden,
wobei in Abhängigkeit von einer Prüfung sämtlicher
Schlüsselinformationen eine dauerhafte Löschung oder Änderung der Berechtigungsinformationen erfolgt.
17. Verfahren nach Anspruch 16, wobei als physische
Komponenten jeweils Funkschlüssel für das Fahrzeug verwendet werden .
18. Verfahren nach Anspruch 17, wobei zunächst die
Steuereinrichtung zu Kopplung und Abfrage der mehreren
Funkschlüssel getriggert wird,
wobei im Anschluss eine Benutzereingabe an jedem der
Funkschlüssel innerhalb einer vorgegebenen Zeitspanne erfolgt und daraufhin Schlüsselinformationen von den Funkschlüsseln übertragen und geprüft werden,
wobei die Prüfung nur erfolgreich erfolgt, wenn die
Benutzereingaben an allen Funkschlüsseln innerhalb der vorgegebenen Zeitspanne vorgenommen wurden.
PCT/EP2016/081965 2015-12-21 2016-12-20 System und verfahren zur übergabe von fahrzeug-zugriffsrechten WO2017108818A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE112016005864.0T DE112016005864A5 (de) 2015-12-21 2016-12-20 System und Verfahren zur Übergabe von Fahrzeug-Zugriffsrechten

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015122469.0 2015-12-21
DE102015122469.0A DE102015122469A1 (de) 2015-12-21 2015-12-21 System und Verfahren zur Übergabe von Fahrzeug-Zugriffsrechten

Publications (1)

Publication Number Publication Date
WO2017108818A1 true WO2017108818A1 (de) 2017-06-29

Family

ID=57708575

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/081965 WO2017108818A1 (de) 2015-12-21 2016-12-20 System und verfahren zur übergabe von fahrzeug-zugriffsrechten

Country Status (2)

Country Link
DE (2) DE102015122469A1 (de)
WO (1) WO2017108818A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935672A (zh) * 2020-07-21 2020-11-13 捷德(中国)科技有限公司 信息读取方法、装置、系统及存储介质
CN112311756A (zh) * 2019-07-24 2021-02-02 罗伯特·博世有限公司 用于对自动化系统进行加保险的配置的方法
CN113453963A (zh) * 2018-12-27 2021-09-28 大众汽车股份公司 用于提供车辆的钥匙信号或防盗信号的方案
CN113965328A (zh) * 2021-10-21 2022-01-21 上海交通大学 可信执行环境的数字钥匙离线情况的权限转移方法及系统
US11345313B2 (en) 2020-04-23 2022-05-31 Ford Global Technologies, Llc System for controlling operations of a vehicle using mobile devices and related methods thereof

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017115298A1 (de) 2017-07-07 2019-01-10 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zur Delegation von Zugriffsrechten

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19917817A1 (de) * 1999-04-20 2000-10-26 Siemens Ag Elektronisches Fahrzeugüberwachungssystem, enthaltend wenigstens einen transportablen Datenträger
EP1837255A1 (de) * 2005-01-11 2007-09-26 Komatsu Ltd. Schlosssteuerungssystem und -verfahren für arbeitsmaschine, arbeitsmaschine, schlosssteuerungsvorrichtung und schlosssteuerungsverwaltungsvorrichtung für arbeitsmaschinen
DE102006042358A1 (de) * 2006-09-08 2008-03-27 Siemens Ag Verfahren und Servicezentrale zum Aktualisieren von Berechtigungsdaten in einer Zugangsanordnung

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009035654A1 (de) 2009-08-01 2011-02-03 Bayerische Motoren Werke Aktiengesellschaft Vorrichtung zur Zugangsauthentifizierung in einem Fahrzeug, insbesondere einem Kraftfahrzeug
DE102010037271A1 (de) 2010-08-16 2012-02-16 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zum Bereitstellen eines drahtlosen Fahrzeugzugangs

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19917817A1 (de) * 1999-04-20 2000-10-26 Siemens Ag Elektronisches Fahrzeugüberwachungssystem, enthaltend wenigstens einen transportablen Datenträger
EP1837255A1 (de) * 2005-01-11 2007-09-26 Komatsu Ltd. Schlosssteuerungssystem und -verfahren für arbeitsmaschine, arbeitsmaschine, schlosssteuerungsvorrichtung und schlosssteuerungsverwaltungsvorrichtung für arbeitsmaschinen
DE102006042358A1 (de) * 2006-09-08 2008-03-27 Siemens Ag Verfahren und Servicezentrale zum Aktualisieren von Berechtigungsdaten in einer Zugangsanordnung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DR CHARLIE MILLER ET AL: "Remote Exploitation of an Unaltered Passenger Vehicle Contents", 10 August 2015 (2015-08-10), XP055358939, Retrieved from the Internet <URL:http://illmatics.com/Remote Car Hacking.pdf> [retrieved on 20170327] *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113453963A (zh) * 2018-12-27 2021-09-28 大众汽车股份公司 用于提供车辆的钥匙信号或防盗信号的方案
CN113453963B (zh) * 2018-12-27 2024-01-05 大众汽车股份公司 用于提供车辆的钥匙信号或防盗信号的方案
CN112311756A (zh) * 2019-07-24 2021-02-02 罗伯特·博世有限公司 用于对自动化系统进行加保险的配置的方法
US11345313B2 (en) 2020-04-23 2022-05-31 Ford Global Technologies, Llc System for controlling operations of a vehicle using mobile devices and related methods thereof
CN111935672A (zh) * 2020-07-21 2020-11-13 捷德(中国)科技有限公司 信息读取方法、装置、系统及存储介质
CN111935672B (zh) * 2020-07-21 2022-10-25 捷德(中国)科技有限公司 信息读取方法、装置、系统及存储介质
CN113965328A (zh) * 2021-10-21 2022-01-21 上海交通大学 可信执行环境的数字钥匙离线情况的权限转移方法及系统

Also Published As

Publication number Publication date
DE112016005864A5 (de) 2018-09-06
DE102015122469A1 (de) 2017-06-22

Similar Documents

Publication Publication Date Title
WO2017108818A1 (de) System und verfahren zur übergabe von fahrzeug-zugriffsrechten
EP2777309B1 (de) Verfahren und system zur freigabe einer technischen vorrichtung
EP3262859B1 (de) System zur verwendung mobiler endgeräte als schlüssel für fahrzeuge
DE102013215303A1 (de) Mobiles elektronisches Gerät
EP2997550A1 (de) Verfahren zur zugriffskontrolle
EP3256977A1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
EP3649625B1 (de) Verfahren zur delegation von zugriffsrechten
DE202012013589U1 (de) System zur Steuerung des Benutzerzugriffs auf geschützte Ressourcen unter Verwendung einer Authentifizierung auf mehreren Ebenen
DE102015005232A1 (de) Steuern einer Freischaltberechtigung eines Kraftfahrzeugs
DE102016104530A1 (de) Verfahren zur Kontrolle des Zugriffs auf Fahrzeuge
DE102014219502A1 (de) System und Verfahren für einen beschränkten Zugang zu einem Fahrzeug
DE102019004726A1 (de) Verfahren, Vorrichtung, System, elektronisches Schloss, digitaler Schlüssel und Speichermedium für die Autorisierung
DE102012022786A1 (de) Zugangssystem für ein Fahrzeug
DE102016218071B4 (de) Authentifikationssystem für ein Kraftfahrzeug
EP3266186B1 (de) Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz
EP3567557A1 (de) Schliesssystem
DE102013003799A1 (de) Verfahren zum Steuern eines elektronisch gesicherten Geräts und Transponder dafür
EP3078769A1 (de) Verfahren zur freigabe von maschinenfunktionen an einer spinnereimaschine
EP3254432A1 (de) Verfahren zur berechtigungsverwaltung in einer anordnung mit mehreren rechensystemen
WO1998034201A1 (de) Verfahren zum betrieb einer fernwirkeinrichtung und fernwirkeinrichtung
EP3300037B1 (de) Zugangsverwaltungseinrichtung, vorrichtung zur auswertung von zugangsinformationen und verfahren zur zugangsverwaltung
DE3342651A1 (de) Verfahren zur absicherung des zugriffs an terminals
WO2020126675A1 (de) Abwicklungssystem
DE102017000514B3 (de) Vorrichtungen, systeme und verfahren zum entriegeln eines schlosses eines schloss-systems
DE102016013034A1 (de) Spiel- und/oder Unterhaltungsautomat, Freischaltmedium hierfür, Verfahren zum Ausgeben eines solchen Freischaltmediums und Freischaltmedium-Ausgabeterminal hierfür

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16820245

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 112016005864

Country of ref document: DE

REG Reference to national code

Ref country code: DE

Ref legal event code: R225

Ref document number: 112016005864

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16820245

Country of ref document: EP

Kind code of ref document: A1