WO2020239344A1 - Verfahren zum ansteuern eines fahrzeugs - Google Patents

Verfahren zum ansteuern eines fahrzeugs Download PDF

Info

Publication number
WO2020239344A1
WO2020239344A1 PCT/EP2020/061689 EP2020061689W WO2020239344A1 WO 2020239344 A1 WO2020239344 A1 WO 2020239344A1 EP 2020061689 W EP2020061689 W EP 2020061689W WO 2020239344 A1 WO2020239344 A1 WO 2020239344A1
Authority
WO
WIPO (PCT)
Prior art keywords
control unit
key
vehicle
message
valid
Prior art date
Application number
PCT/EP2020/061689
Other languages
English (en)
French (fr)
Inventor
Ralf Prenzel
Soheil Gherekhloo
Jan-Felix VAN DAM
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to US17/595,775 priority Critical patent/US11909726B2/en
Priority to CN202080054663.5A priority patent/CN114175571A/zh
Publication of WO2020239344A1 publication Critical patent/WO2020239344A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]

Definitions

  • the invention relates to a method for controlling a vehicle as well as a computer program and a machine-readable storage medium on which the computer program is stored.
  • the present invention also relates to a control unit and a network of control units.
  • Methods are known for controlling a platoon or vehicle group of commercial vehicles traveling one behind the other by means of vehicle-to-vehicle communication, in which the distances between the individual commercial vehicles of the vehicle group or platoon participants are about ten to fifteen meters by means of automated longitudinal guidance can be regulated so that the fuel consumption and vehicle emissions of the vehicle group are reduced by a reduction in air resistance. Since the distance between the vehicles in the vehicle group is significantly smaller than the currently legally prescribed safety distance, V2X communication messages must be exchanged between the vehicles for safe driving.
  • CAM Cooperative Awareness Message
  • the PCM contains a time stamp, this is generated by the sender of the message.
  • Pair key enables vehicle-to-vehicle communication.
  • the infrastructure device can be a computing unit or server unit arranged outside the vehicles or remotely.
  • the infrastructure device can be a network of several computing units arranged outside the vehicles or remotely arranged and spatially distributed, or a cloud computing system or a Be a computer cloud.
  • the infrastructure device can also be a server unit of an operator of the vehicles or of an operator of at least parts of the method according to the invention.
  • the communication unit is preferably designed and set up to transmit data with low latency and / or high bandwidth.
  • the symmetrical reserve key of the second control unit is determined by means of the second control unit, with an in particular algorithmic key generation method with the valid one for this purpose Key of the second control unit is carried out as an input variable.
  • the method includes a step of replacing the valid symmetrical key of the first and / or second control unit with the symmetrical one determined by means of the respective control unit
  • the replacement step means that the previously valid key is no longer or no longer used for encrypting and decrypting messages.
  • the valid one is preferred
  • control units 12, 22, 32 are set up, one
  • step 130 a message is generated using the new valid

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Gegenstand der vorliegenden Erfindung ist ein Verfahren zum Ansteuern eines Fahrzeugs, mit folgenden Schritten: - Empfangen eines Signals umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit eines ersten Fahrzeugs verschlüsselte Nachricht mittels einer zweiten Steuereinheit eines anzusteuernden zweiten Fahrzeugs; - Ermitteln einer Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung - eines gültigen symmetrischen Schlüssels der zweiten Steuereinheit oder - eines mittels der zweiten Steuereinheit ermittelten symmetrischen Reserveschlüssels der zweiten Steuereinheit mittels der zweiten Steuereinheit; - Entschlüsseln der verschlüsselten Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit unter Verwendung - des gültigen symmetrischen Schlüssels der zweiten Steuereinheit oder - des symmetrischen Reserveschlüssels der zweiten Steuereinheit mittels der zweiten Steuereinheit; und - Ansteuern des anzusteuernden zweiten Fahrzeugs basierend auf der entschlüsselten Nachricht.

Description

Beschreibung
Titel
Verfahren zum Ansteuern eines Fahrzeugs
Die Erfindung betrifft ein Verfahren zum Ansteuern eines Fahrzeugs sowie ein Computerprogramm und ein maschinenlesbares Speichermedium, auf dem das Computerprogramm gespeichert ist. Gegenstand der vorliegenden Erfindung ist auch eine Steuereinheit und ein Verbund von Steuereinheiten.
Stand der Technik
Bekannt sind Verfahren zur Steuerung eines Platoons bzw. Fahrzeugverbunds von hintereinander fahrenden, mittels Fahrzeug-zu- Fahrzeug- Kommunikation verbundenen Nutzfahrzeugen, bei denen die Abstände zwischen den einzelnen Nutzfahrzeugen des Fahrzeugverbunds bzw. Platoon-Teilnehmern mittels einer automatisierten Längsführung auf etwa zehn bis fünfzehn Meter geregelt werden, sodass durch eine Reduktion des Luftwiderstands der Kraftstoffverbrauch und die Fahrzeugemissionen des Fahrzeugverbunds reduziert werden. Da der Abstand zwischen den Fahrzeugen des Fahrzeugverbunds deutlich kleiner als der derzeit gesetzlich vorgeschriebene Sicherheitsabstand ist, müssen für eine sichere Fahrweise V2X- Kommunikationsnachrichten zwischen den Fahrzeugen ausgetauscht werden.
In der V2X-Spezifikation gemäß der Cooperative Intelligent Transport Systems (C-ITS) sind sogenannte CAM („Cooperative Awareness Message“) Nachrichten definiert, die zum Beispiel die Position eines Fahrzeugs im Fahrzeugverbund und weitere Informationen enthalten. Diese Nachrichten können von allen
Fahrzeugen gelesen werden, die das entsprechende Protokoll implementiert haben. Zur Ermöglichung eines Platoons können weitere Nachrichten zwischen den Fahrzeugen notwendig sein, bspw. Fahrzeugverbund-Kontrollnachrichten („Platoon Control Message“, PCM) und Fahrzeugverbund- Verwaltungsnachrichten („Platoon Management Message“, PMM). Während des Fahrens in einem Platoon kann jeder Platoon-Teilnehmer zyklisch und in kurzen zeitlichen Abständen eine PCM umfassend seinen aktuellen Status an alle anderen Platoon-Teilnehmer senden. Diese PCM ist verschlüsselt, sodass nur die Platoon-Teilnehmer diese Nachricht dekodieren können. Die PCM dienen dem Aufrechthalten und Steuern des Platoons und damit der
Geschwindigkeitsregelung jedes einzelnen Platoon-Teilnehmers. Die PCM enthält einen Zeitstempel, dieser wird vom Sender der Nachricht erzeugt.
Die PMM werden eventbasiert gesendet. Diese sind je nach Anwendungsfall teilweise verschlüsselt. Z. B. wird das Hinzufügen eines Fahrzeugs zum Platoon mittels definierter Beitrittsanfragen-/Join Request- und Beitrittsanwort- /JoinResponse-PMM ermöglicht. Dabei ist die JoinRequest PMM nicht verschlüsselt, aber das sendende Fahrzeug fügt dieser Nachricht eine Signatur und sein Authentifizierungszertifikat hinzu, so dass das empfangende Fahrzeug diese Nachricht mit dem Zertifikat überprüfen kann.
Die DE 10 2018 214 354 Al offenbart ein Verfahren, das eine sichere Verteilung und Verwendung eines symmetrischen Gruppenschlüssels unter Verwendung eines öffentlichen Schlüssels oder eines symmetrischen
Paarschlüssels bei einer Fahrzeug-zu- Fahrzeug- Kommunikation ermöglicht.
Hierbei wird der symmetrische Gruppenschlüssel an jedes
Fahrzeug eines Fahrzeugplatoons zum Zwecke der sicheren gruppeninternen
Kommunikation verteilt.
Offenbarung der Erfindung
Gegenstand der vorliegenden Erfindung ist ein Verfahren zum Ansteuern eines Fahrzeugs.
Das Verfahren umfasst einen Schritt des Empfangens eines Signals umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit eines ersten Fahrzeugs verschlüsselte Nachricht mittels einer zweiten Steuereinheit eines anzusteuernden zweiten Fahrzeugs. Das heißt, mit anderen Worten, mittels der zweiten Steuereinheit des anzusteuernden zweiten Fahrzeugs wird ein Signal empfangen, wobei das Signal eine Nachricht umfasst, die unter Verwendung des gültigen symmetrischen Schlüssels der ersten Steuereinheit des ersten Fahrzeugs verschlüsselt wurde.
Weiter umfasst das Verfahren einen Schritt des Ermittelns einer
Entschlüsselbarkeit der verschlüsselten Nachricht mittels der zweiten
Steuereinheit. Zum einen wird die Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung eines gültigen symmetrischen Schlüssels der zweiten Steuereinheit ermittelt. Zum anderen wird die Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung eines mittels der zweiten
Steuereinheit ermittelten symmetrischen Reserveschlüssels der zweiten
Steuereinheit ermittelt.
Zudem umfasst das Verfahren einen Schritt des Entschlüsselns der
verschlüsselten Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit mittels der zweiten Steuereinheit. In einer ersten Alternative wird die
verschlüsselte Nachricht unter Verwendung des gültigen symmetrischen
Schlüssels der zweiten Steuereinheit entschlüsselt. In einer zweiten Alternative wird die verschlüsselte Nachricht unter Verwendung des symmetrischen
Reserveschlüssels der zweiten Steuereinheit entschlüsselt.
Ferner umfasst das Verfahren einen Schritt des Ansteuerns des anzusteuernden zweiten Fahrzeugs basierend auf der entschlüsselten Nachricht, insbesondere auf einem Inhalt der entschlüsselten Nachricht. Das Ansteuern des zweiten Fahrzeugs kann mittels der zweiten Steuereinheit oder einer fahrzeugfremden Steuereinheit erfolgen. Das Ansteuern des zweiten Fahrzeugs kann ein
Ansteuern einer Einheit des zweiten Fahrzeugs sein. Das Ansteuern des zweiten Fahrzeugs kann ein Ausgeben eines Steuersignals an die Einheit des Fahrzeugs umfassen.
Gegenstand der vorliegenden Erfindung ist auch eine Steuereinheit zum
Ansteuern eines Fahrzeugs.
Die Steuereinheit ist eingerichtet, ein Signal umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit eines ersten Fahrzeugs verschlüsselte Nachricht zu empfangen. Das heißt, mit anderen Worten, die Steuereinheit ist eingerichtet, ein Signal zu empfangen, wobei das Signal eine Nachricht umfasst, die unter Verwendung des gültigen
symmetrischen Schlüssels der ersten Steuereinheit des ersten Fahrzeugs verschlüsselt wurde.
Weiter ist die Steuereinheit eingerichtet, eine Entschlüsselbarkeit der
verschlüsselten Nachricht zu ermitteln. Zum einen ist die Steuereinheit eingerichtet, die Entschlüsselbarkeit der verschlüsselten Nachricht unter
Verwendung eines gültigen symmetrischen Schlüssels der Steuereinheit zu ermitteln. Zum anderen ist die Steuereinheit eingerichtet, die Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung eines mittels der Steuereinheit ermittelten symmetrischen Reserveschlüssels der Steuereinheit zu ermitteln.
Zudem ist die Steuereinheit eingerichtet, die verschlüsselte Nachricht in
Abhängigkeit von der ermittelten Entschlüsselbarkeit zu entschlüsseln. Zum einen ist die Steuereinheit eingerichtet, die verschlüsselte Nachricht in einer ersten Alternative unter Verwendung des gültigen symmetrischen Schlüssels der Steuereinheit zu entschlüsseln. Zum anderen ist die Steuereinheit eingerichtet, die verschlüsselte Nachricht in einer zweiten Alternative unter Verwendung des symmetrischen Reserveschlüssels der Steuereinheit zu entschlüsseln.
Ferner ist die Steuereinheit eingerichtet, ein anzusteuerndes zweites Fahrzeug basierend auf, insbesondere einem Inhalt, der entschlüsselten Nachricht anzusteuern.
Unter einem Signal kann im Rahmen der vorliegenden Erfindung ein
drahtgebundenes oder bevorzugt drahtlos übertragenes elektromagnetisches, elektrisches oder optisches Signal verstanden werden. Bevorzugt sind das erste und das zweite Signal drahtlos übertragene Signale. Das Signal kann ein Funksignal, insbesondere ein Mobilfunksignal, ein DSRC-Signal oder ein WLAN- Signal, sein.
Das Signal weist eine, insbesondere maschinenlesbare, Nachricht, z. B. in Form einer definierten Modulation des Signals, auf. Hierbei kann die Nachricht ein oder mehrere Nachrichtenfelder umfassen. Die Nachrichtenfelder umfassen ein oder mehrere Informationen, die mittels des Signals übertragen werden. Die verschlüsselte Nachricht ist eine kryptographisch verschlüsselte Nachricht. Die verschlüsselte Nachricht kann eine teilweise oder vollständig verschlüsselte Nachricht sein. Denkbar ist, dass die teilweise Nachricht einen unverschlüsselten Headerdatensatz und einen verschlüsselten Inhaltsdatensatz umfasst. Die verschlüsselte Nachricht wurde unter Verwendung bzw. mittels eines
kryptographischen Verschlüsselungsverfahrens verschlüsselt. Ebenso kann die verschlüsselte Nachricht unter Verwendung bzw. mittels eines kryptographischen Entschlüsselungsverfahrens entschlüsselt werden.
Zum Verschlüsseln und/oder Entschlüsseln der Nachricht ist ein gültiger Schlüssel erforderlich. Unter einem Schlüssel kann im Rahmen der vorliegenden Erfindung ein kryptographischer Schlüssel verstanden werden, unter
Verwendung dessen die Nachricht im Rahmen des kryptographischen
Verschlüsselungsverfahrens verschlüsselt und/oder im Rahmen des
kryptographischen Entschlüsselungsverfahrens entschlüsselt werden kann. Hierbei ist der Schlüssel ein Datensatz, bevorzugt eine insbesondere zufällig erzeugte Zeichenkette bzw. Zeichenabfolge verstanden werden.
Im Rahmen der vorliegenden Erfindung ist der Schlüssel ein symmetrischer Schlüssel. Das heißt, mit anderen Worten, der Schlüssel ist ein Schlüssel eines symmetrischen Ver- bzw. Entschlüsselungsverfahrens. Also ist der symmetrische Schlüssel zum Verschlüsseln der Nachricht identisch mit dem symmetrischen Schlüssel zum Entschlüsseln der verschlüsselten Nachricht.
Unter einem gültigen Schlüssel einer Steuereinheit kann im Rahmen der vorliegenden Erfindung ein der Steuereinheit zugeordneter kryptographischer Schlüssel verstanden werden, der zum Verschlüsseln einer abzugebenden Nachricht und/oder zum Entschlüsseln einer empfangenen Nachricht vorgesehen bzw. vorgegeben ist. Eine mittels einer Steuereinheit abzugebende Nachricht wird unter Verwendung des gültigen Schlüssels der Steuereinheit verschlüsselt. Eine mittels der Steuereinheit empfangene Nachricht wird hinsichtlich einer Entschlüsselbarkeit unter Verwendung des gültigen Schlüssels der Steuereinheit geprüft.
Die Entschlüsselbarkeit einer verschlüsselten Nachricht unter Verwendung eines Schlüssels repräsentiert eine Information, ob die verschlüsselte Nachricht unter Verwendung des Schlüssels bzw. mittels des Schlüssels entschlüsselbar oder nicht entschlüsselbar ist. Die Entschlüsselbarkeit einer verschlüsselten Nachricht Ml unter Verwendung eines Schlüssels K_c (current key) kann bspw. eine Angabe der Form„Ml entschlüsselbar mittels K_c“ oder„Ml nicht
entschlüsselbar mittels K_c“ umfassen.
Die Entschlüsselbarkeit einer verschlüsselten Nachricht unter Verwendung eines gültigen Schlüssels oder eines Reserveschlüssels repräsentiert eine Information, ob die verschlüsselte Nachricht unter Verwendung des gültigen Schlüssels oder des Reserveschlüssels entschlüsselbar oder nicht entschlüsselbar ist. Die Entschlüsselbarkeit einer verschlüsselten Nachricht Ml unter Verwendung eines gültigen Schlüssels K_c oder eines Reserveschlüssels K_r (reserve key) kann bspw. eine Angabe der Form„Ml entschlüsselbar mittels K_r“ oder„Ml nicht entschlüsselbar mittels K_c, Ml entschlüsselbar mittels K_r“ umfassen.
Der Reserveschlüssel ist hierbei ein Reserveschlüssel des gültigen Schlüssels. Der Reserveschlüssel kann den gültigen Schlüssel ersetzen, wenn eine empfangene Nachricht unter Verwendung des gültigen Schlüssels nicht entschlüsselbar ist und/oder der gültigen Schlüssel nicht zur Verschlüsselung einer abzugebenden Nachricht verwendet werden soll. Denkbar ist auch, dass der Reserveschlüssel ein Satz bzw. eine Menge von mindestens zwei, bevorzugt mehr als zwei Reserveschlüsseln ist. Hierbei ist denkbar, dass der Satz von Reserveschlüsseln vor dem Ermitteln der Entschlüsselbarkeit der verschlüsselten Nachricht ermittelt wird. Denkbar ist auch, dass ein oder mehrere
Reserveschlüssel des Satzes von Reserveschlüsseln vor dem Ermitteln der Entschlüsselbarkeit und ein oder mehrere Reserveschlüssel des Satzes von Reserveschlüsseln nach dem Ermitteln der Entschlüsselbarkeit ermittelt werden.
Der Schlüssel und der Reserveschlüssel können jeweils unter Verwendung eines Schlüsselerzeugungsverfahrens bzw. eines Schlüsselableitungsverfahrens von jeder der Steuereinheiten ermittelt werden. Das Schlüsselerzeugungsverfahren ist ein dem Fachmann bekannter kryptographischer Algorithmus zur Erzeugung eines kryptographischen Schlüssels. Hierbei wird ein vorgegebener bzw. ein bereits vorhandener, bspw. ein bisher gültiger, Schlüssel als Eingangsgröße für das Schlüsselerzeugungsverfahren verwendet. Das
Schlüsselerzeugungsverfahren läuft hierbei deterministisch ab. Das heißt, mit anderen Worten, unter Verwendung derselben Schlüsselerzeugungsverfahren und desselben Schlüssels als Eingangsgröße erzeugen verschiedene
Steuereinheiten dieselben Schlüssel.
Im Rahmen der vorliegenden Erfindung ist also die Abfolge, mit welcher verschiedene Schlüssel nacheinander von einer Steuereinheit erzeugt werden, für alle Steuereinheiten gleich. Dennoch können die zu einem festen Zeitpunkt vorliegenden gültigen Schlüssel der Steuereinheiten voneinander verschieden sein. Denkbar ist, dass ein gültiger Schlüssel einer ersten Steuereinheit bereits zu einem früheren oder erst zu einem späteren Zeitpunkt von einer zweiten Steuereinheit als gültiger Schlüssel verwendet wurde bzw. wird.
Bevorzugt sind das erste Fahrzeug und das anzusteuernde zweite Fahrzeug Fahrzeuge eines Fahrzeugverbunds. Besonders bevorzugt umfasst das
Fahrzeug zusätzlich zu dem ersten und dem zweiten Fahrzeug ein oder mehrere weitere zweite Fahrzeuge.
Unter einem Fahrzeugverbund kann im Rahmen der vorliegenden Erfindung ein Verbund beziehungsweise ein Verband von mindestens zwei Fahrzeugen auf einer gemeinsamen Fahrstrecke verstanden werden. Der Fahrzeugverbund bzw. der Fahrzeugverband kann eine Fahrzeugkolonne beziehungsweise ein
Fahrzeugkonvoi sein. Denkbar ist, dass es sich bei dem Fahrzeugverbund um in einer Formation hintereinander fahrende Fahrzeuge handelt. Das heißt, mit anderen Worten, die Fahrzeuge des Fahrzeugverbunds sind ausgebildet, insbesondere ohne eine mechanische Verbindung zwischen den Fahrzeugen, das heißt mit einer sogenannten„elektronischen Deichsel“, in einer definierten Fahrzeugreihenfolge hintereinander zu fahren.
Die Fahrzeuge des Fahrzeugverbunds können in einem sehr geringen räumlichen Abstand zueinander, bevorzugt von kleiner oder gleich 50 m, besonders bevorzugt von kleiner oder gleich 15 m, hintereinander fahren, um aufgrund des verminderten Luftwiderstands bzw. der verminderten
aerodynamischen Widerstandskraft der Fahrzeuge im Fahrzeugverbund einen Verbrauch von Kraftstoff bzw. eine Umsetzung von elektrischer Energie in Bewegungsenergie zu reduzieren. Denkbar ist, dass ein, mehrere oder alle Fahrzeug des Fahrzeugverbunds zu einem autonomen Betrieb, insbesondere zu einem autonomen Fahren, ausgebildet sind. Hierbei können die Fahrzeuge teilautomatisiert, hochautomatisiert oder vollautomatisiert gesteuert werden.
Bevorzugt ist ein erstes, den übrigen Fahrzeugen des Fahrzeugverbunds vorausfahrendes Fahrzeug bzw. Führungsfahrzeug des Fahrzeugverbunds ein teilautomatisiertes oder vollautomatisiertes Fahrzeug. Bevorzugt sind die einem ersten vorausfahrenden Fahrzeug des Fahrzeugverbunds nachfolgenden Fahrzeuge des Fahrzeugverbunds vollautomatisierte Fahrzeuge. Hierzu weisen zumindest die dem vorausfahrenden Fahrzeug bzw. dem Führungsfahrzeug nachfolgende Fahrzeuge des Fahrzeugverbunds ein längsführendes
Fahrerassistenzsystem auf, das ausgebildet ist, einen Abstand in Fahrtrichtung zwischen einem nachfolgenden Fahrzeug und einem dem nachfolgenden Fahrzeug unmittelbar vorausfahrenden Fahrzeug automatisiert zu steuern bzw. zu regeln. Alternativ ist denkbar, dass das erste Fahrzeug ein dem zweiten oder einem weiteren Fahrzeug des Fahrzeugverbunds nachfolgendes Fahrzeug ist.
Das erste und das zweite Fahrzeuge, insbesondere die Fahrzeuge des
Fahrzeugverbunds, weisen je eine fahrzeugseitige bzw. an dem jeweiligen Fahrzeug angeordnete Steuereinheit auf. Die Steuereinheit umfasst bevorzugt eine Recheneinheit bzw. einen Prozessor, ein Kommunikationsmodul bzw. eine Kommunikationseinheit, eine Antenne und einen Speicher.
Die Steuereinheit bzw. die Kommunikationseinheit der Steuereinheit eines Fahrzeugs ist ausgebildet, eine Kommunikationsverbindung mit zumindest einer Steuereinheit bzw. Kommunikationseinheit der Steuereinheit zumindest eines weiteren Fahrzeugs oder einer Infrastruktureinrichtung herzustellen. Die
Kommunikationseinheit kann ein Funkgerät, beispielsweise ein Mobilfunkgerät, oder Teil einer Steuereinheit mit einer Mobilfunkeinheit sein. Die
Kommunikationsverbindung kann eine Funkverbindung, beispielsweise eine Kommunikationsverbindung gemäß dem Standard IEEE 802.11p, eine
Nahfeldkommunikationsverbindung oder eine Mobilfunkverbindung,
insbesondere eine 5G-Mobilfunkverbindung sein. Die Infrastruktureinrichtung kann eine außerhalb der Fahrzeuge bzw. entfernt angeordnete Recheneinheit bzw. Servereinheit sein. Zum Beispiel kann die Infrastruktureinrichtung ein Netzwerk mehrerer außerhalb der Fahrzeuge bzw. entfernt angeordneter und räumlich verteilter Recheneinheiten bzw. ein Cloud-Computing-System bzw. eine Rechnerwolke sein. Auch kann die Infrastruktureinrichtung eine Servereinheit eines Betreibers der Fahrzeuge oder eines Betreibers von zumindest Teilen des erfindungsgemäßen Verfahrens sein. Mittels der Kommunikationseinheit können Daten bzw. Informationen zwischen den Fahrzeugen und/oder zwischen einem Fahrzeug und der Infrastruktureinrichtung, insbesondere drahtlos elektronisch, übertragen werden. Bevorzugt ist die Kommunikationseinheit ausgebildet und eingerichtet, Daten mit geringer Latenzzeit und/oder hoher Bandbreite zu übertragen.
Die Fahrzeuge des Fahrzeugverbunds können Transport- oder Lastenfahrzeuge wie bspw. Lastkraftfahrzeuge (LKW) und/oder personenbefördernde Fahrzeuge wie bspw. Personenkraftwagen (PKW) sein. Denkbar ist auch, dass die
Fahrzeuge schienengebundene Fahrzeuge sind. Die Fahrzeuge des
Fahrzeugverbunds können Fahrzeuge mit Verbrennungsmotor und/oder
Brennstoffzelle und/oder Hybrid- und/oder Elektrofahrzeuge sein. Das Fahrzeug kann eine Fahrzeugkombination sein. Das heißt, das Fahrzeug kann ein
Zugfahrzeug und ein oder mehrere Anhänger umfassen.
In einer bevorzugten Ausführungsform sind das erste und das zweite Fahrzeug Teil eines Kommunikationsnetzwerks, insbesondere eines Fahrzeugverbunds, der zumindest ein drittes bzw. ein weiteres zweites Fahrzeug umfasst. Hierbei weist jedes Fahrzeug eine erfindungsgemäße Steuereinheit auf. Das heißt, mit anderen Worten, ein Übertragen des gültigen symmetrischen Schlüssels oder des symmetrischen Reserveschlüssels zwischen den Fahrzeugen ist nicht erforderlich.
Das erfindungsgemäße Verfahren und die erfindungsgemäße Steuereinheit verbessern den Schutz der Privatheit in einem Kommunikationsnetzwerk zwischen zumindest zwei verschlüsselt kommunizierenden Fahrzeugen ohne dass hierzu zusätzliche Daten zwischen den Fahrzeugen übertragen werden müssen. Um die Fahrzeuge vor einer Rückverfolgbarkeit bzw. Nachverfolgbarkeit anhand von abgefangenen verschlüsselten Nachrichten zu schützen, kann der zur Verschlüsselung verwendete gültige symmetrische Schlüssel bevorzugt wiederholt durch den jeweiligen Reserveschlüssel ersetzt werden. Hierbei kann der Reserveschlüssel mittels jeder der Steuereinheiten eigenständig ermittelt werden, sodass ein Austausch des Reserveschlüssels und insbesondere eines neuen gültigen Schlüssels zwischen den Fahrzeugen nicht erforderlich ist.
Dadurch kann die Kommunikationsverbindung zwischen den Fahrzeugen entlastet und gleichzeitig ein Identifizieren der Fahrzeuge anhand von
abgefangenen Nachrichten verhindert werden. Darüber hinaus kann das
Verfahren auch in Fällen, in denen gültige symmetrische Schlüssel von verschiedenen Steuereinheiten gleichzeitig ersetzt werden, eine stabile
Kommunikation mit für alle Steuereinheiten entschlüsselbaren Nachrichten gewährleisten.
Von Vorteil ist es, wenn die Nachricht einen Schlüsselidentifikator des zum Verschlüsseln der Nachricht verwendeten symmetrischen Schlüssels umfasst und die Entschlüsselbarkeit der verschlüsselten Nachricht basierend auf dem Schlüsselidentifikator ermittelt wird. Denkbar ist, dass der Schlüsselidentifikator des zum Verschlüsseln der Nachricht verwendeten symmetrischen Schlüssels mit einem Schlüsselidentifikator eines zum Entschlüsseln der Nachricht vorliegenden oder vorgegebenen symmetrischen Schlüssels verglichen wird, um die Entschlüsselbarkeit der Nachricht zu ermitteln. Das heißt, mit anderen Worten, anhand eines Vergleichs der Schlüsselidentifikatoren des verwendeten symmetrischen Schlüssels und des zum Entschlüsseln vorgesehenen symmetrischen Schlüssels kann ermittelt werden, ob der vorgesehene symmetrische Schlüssel zum Entschlüsseln der Nachricht geeignet ist. Denkbar ist auch, dass der Schlüsselidentifikator des zum Verschlüsseln der Nachricht verwendeten symmetrischen Schlüssels mit Schlüsselidentifikatoren mehrerer zum Entschlüsseln der Nachricht vorliegender oder vorgegebener symmetrischer Schlüssel verglichen wird, um den zum Entschlüsseln der Nachricht geeigneten Schlüssel zu ermitteln bzw. zu identifizieren. Durch diese Ausgestaltung kann besonders schnell ermittelt werden, ob die verschlüsselte Nachricht unter Verwendung eines Schlüssels entschlüsselbar ist.
Von Vorteil ist es auch, wenn das Verfahren einen Schritt des Ermittelns des symmetrischen Reserveschlüssels der zweiten Steuereinheit unter Verwendung eines Schlüsselerzeugungsverfahrens und des gültigen symmetrischen
Schlüssels der zweiten Steuereinheit mittels der zweiten Steuereinheit aufweist. Das heißt, mit anderen Worten, der symmetrische Reserveschlüssel der zweiten Steuereinheit wird mittels der zweiten Steuereinheit ermittelt, wobei hierzu ein insbesondere algorithmisches Schlüsselerzeugungsverfahren mit dem gültigen Schlüssel der zweiten Steuereinheit als Eingangsgröße durchgeführt wird. Durch diese Ausgestaltung ist keine Übertragung des symmetrischen
Reserveschlüssels zu der zweiten Steuereinheit erforderlich, wodurch das Kommunikationsnetzwerk entlastet und der Austausch relevanter Daten bzw. Nachrichten beschleunigt wird.
Hierbei ist es von Vorteil, wenn das Verfahren einen Schritt des Ermittelns eines symmetrischen Reserveschlüssels der ersten Steuereinheit unter Verwendung desselben Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der ersten Steuereinheit mittels der ersten Steuereinheit, um den gültigen symmetrischen Schlüssel der ersten Steuereinheit durch den ermittelten symmetrischen Reserveschlüssel zu ersetzen. Das heißt, mit anderen Worten, der symmetrische Reserveschlüssel der ersten Steuereinheit wird mittels der ersten Steuereinheit ermittelt, wobei hierzu das insbesondere algorithmische Schlüsselerzeugungsverfahren mit dem gültigen Schlüssel der ersten
Steuereinheit als Eingangsgröße durchgeführt wird. Der symmetrische
Reserveschlüssel kann ermittelt werden, wenn der gültige symmetrische
Schlüssel nicht mehr gültig ist. Bevorzugt wird der symmetrische
Reserveschlüssel ermittelt, solange der gültige symmetrische Schlüssel noch gültig ist bzw. bevor er seine Gültigkeit verliert. Durch diese Ausgestaltung wird sichergestellt, dass die Steuereinheiten dieselbe Abfolge von symmetrischen Reserveschlüsseln ermitteln.
Vorteilhaft ist es besonders, wenn das Verfahren einen Schritt des Ersetzens des gültigen symmetrischen Schlüssels der ersten und/oder zweiten Steuereinheit durch den mittels der jeweiligen Steuereinheit ermittelten symmetrischen
Reserveschlüssel umfasst. Unter einem Ersetzen eines gültigen Schlüssels durch einen Reserveschlüssel kann ein Verwerfen eines bisher gültigen
Schlüssels und ein Verwenden des bisherigen Reserveschlüssels als gültiger Schlüssel zum Verschlüssen und Entschlüssen von Nachrichten verstanden werden. Das heißt, mit anderen Worten, durch den Schritt des Ersetzens wird der bisher gültige Schlüssel nicht mehr bzw. nicht länger zum Verschlüsseln und Entschlüsseln von Nachrichten verwendet. Bevorzugt wird der gültige
symmetrische Schlüssel wiederholt, bspw. regelmäßig bzw. periodisch, ersetzt. Durch das Ersetzen des gültigen symmetrischen Schlüssels kann ein Entschlüsseln von abgehörten Nachrichten erschwert und somit der Schutz der Privatheit der kommunizierenden Fahrzeuge erhöht werden.
Hierbei ist es vorteilhaft, wenn das Ersetzen des gültigen symmetrischen
Schlüssels durch den ermittelten symmetrischen Reserveschlüssel von der
ermittelten Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung des gültigen Schlüssels der jeweiligen Steuereinheit abhängt. Bevorzugt wird der gültige symmetrische Schlüssel durch den ermittelten symmetrischen
Reserveschlüssel ersetzt, wenn eine empfangene Nachricht von der jeweiligen
Steuereinheit unter Verwendung des gültigen symmetrischen Schlüssels nicht entschlüsselbar ist. Durch diese Ausgestaltung wird sichergestellt, dass bei
Ersetzen des gültigen symmetrischen Schlüssels der ersten Steuereinheit zum
Verschlüsseln der Nachricht die verschlüsselte Nachricht von der die Nachricht empfangenden zweiten Steuereinheit entschlüsselt und das anzusteuernde
Fahrzeug basierend auf der Nachricht angesteuert werden kann.
Vorteilhaft ist es auch, wenn das Ersetzen des gültigen symmetrischen Schlüssels durch den ermittelten symmetrischen Reserveschlüssel alternativ oder zusätzlich von einer Fahrzeuginformation oder einer Fahrinformation des jeweiligen Fahrzeugs abhängt. Die Fahrzeuginformation kann ein geänderter Fahrzeugidentifikator wie bspw. ein geändertes Pseudonym des Fahrzeugs sein. Die Fahrinformation kann eine Information bezüglich einer zurückgelegten Fahrstreckenlänge auf einer Fahrstrecke des Fahrzeugs oder einer definierten Fahrzeitdauer sein, insbesondere seit einem letzten Ersetzen des gültigen symmetrischen Schlüssels, sein. Denkbar ist auch, dass der Fahrzeugidentifikator nach Zurücklegen einer definierten Fahrstreckenlänge, bspw. von weniger oder gleich 30 km, auf einer Fahrstrecke des Fahrzeugverbunds oder nach einer definierten Zeitdauer, bspw. von weniger oder gleich 1 min, automatisiert geändert bzw. gewechselt wird. Durch diese Ausgestaltung kann die Privatheit bei einer Kommunikation zwischen den Fahrzeugen besonders gut geschützt werden.
Weiter ist es vorteilhaft, wenn das Verfahren einen Schritt des Übertragens einer, bevorzugt verschlüsselten, Information bezüglich des Schüsselerzeugungsverfahrens zwischen den Fahrzeugen umfasst, um das Ermitteln identischer symmetrischer Schlüssel mittels der verschiedenen Steuereinheiten zu ermöglichen. Die übertragene Information kann einen Algorithmus des Schlüsselerzeugungsverfahrens, bspw. eine Schlüsselerzeugungsfunktion, enthalten. Die übertragene Information kann auch einen eindeutigen Indikator, bspw. eine definierte Beschreibung oder eine Identifikationszeichenkette, des Schlüsselerzeugungsverfahrens umfassen. Eine die übertragene Information aufweisende Nachricht wird bevorzugt vor dem Übertragen unter Verwendung eines asymmetrischen Verschlüsselungsverfahren verschlüsselt. Denkbar ist, dass die Information zusammen mit einer verschlüsselten Beitrittsanfrage des zweiten Fahrzeugs in ein Kommunikationsnetzwerk und/oder einen
Fahrzeugverbund des ersten Fahrzeugs übertragen wird. Durch diese Ausgestaltung wird eine besonders geschützte Kommunikation zwischen den Fahrzeugen ermöglicht, die keinen Austausch von, insbesondere symmetrischen, Schlüsseln zwischen den Fahrzeugen erfordert.
Darüber hinaus ist es von Vorteil, wenn das Verfahren einen Schritt des Abgebens eines Signals umfassend eine unter Verwendung des gültigen symmetrischen
Schlüssels der ersten und/oder zweiten Steuereinheit verschlüsselte Nachricht mittels der jeweiligen Steuereinheit, um das die Nachricht empfangende erste und/oder zweite Fahrzeug basierend auf der Nachricht anzusteuern. Das heißt, mit anderen Worten, das Ansteuern der Fahrzeuge basiert auf verschlüsselten Nachrichten von zwischen den Fahrzeugen übertragenen Signalen. Durch diese Ausgestaltung können die Fahrzeuge nach außen hin anonym und besonders manipulationssicher angesteuert werden.
Schließlich ist es vorteilhaft, wenn im Schritt des Ansteuerns des ersten und/oder zweiten Fahrzeugs eine der folgenden Einheiten des ersten und/oder zweiten
Fahrzeugs, insbesondere mittels der ersten und/oder zweiten Steuereinheit, angesteuert wird: Antriebseinheit, Bremseinheit, Lenkeinheit, Kommunikationseinheit, Anzeigeeinheit.
Ein Steuern der Antriebseinheit und/oder der Bremseinheit mittels des
Steuersignals kann ein Erhöhen, Konstant Halten oder Erniedrigen einer
Antriebsleistung und/oder Bremsleistung und/oder einer Fahrgeschwindigkeit umfassen. Denkbar ist, dass die entschlüsselte Nachricht eine Information über eine eingeleitete oder einzuleitende Bremsung des ersten Fahrzeugs umfasst.
Hierbei kann die Antriebseinheit und/oder die Bremseinheit derart angesteuert werden, dass der räumliche Abstand zwischen den Fahrzeugen nicht wesentlich verringert wird. Ein Ansteuern der Anzeigeeinheit kann ein Anzeigen eines erforderlichen
Auflösens des Fahrzeugverbunds und/oder eines Vergrößerns oder eines
Verkleinerns des Abstands zwischen den Fahrzeugen mittels der Anzeigeeinheit umfassen. Ein Steuern der Kommunikationseinheit kann ein Abgeben eines
Signals mit einer verschlüsselten Nachricht einleiten.
Durch diese Ausgestaltung kann eine das zweite Fahrzeug besonders abhängig von der entschlüsselten Nachricht und dennoch manipulationssicher betrieben werden.
Vorteilhafterweise wird das Verfahren mehrfach hintereinander, bevorzugt kontinuierlich bzw. dauerhaft während einer Fahrt bzw. eines Betriebs eines Fahrzeugverbunds durchgeführt. Hierbei können das erste Fahrzeug und/oder das zweite Fahrzeug bei einer ersten Durchführung des Verfahrens von dem ersten Fahrzeug und/oder dem zweiten Fahrzeug bei einer zweiten Durchführung des Verfahrens verschieden sein.
Zeichnungen
Die Erfindung wird nachstehend anhand der beigefügten Zeichnungen
beispielhaft näher erläutert. Es zeigen:
Fig. 1 einen Fahrzeugverbund mit drei Fahrzeugen; und
Fig. 2 ein Ablaufdiagramm eines Verfahrens zum Steuern eines Fahrzeugs des Fahrzeugverbunds.
Fig. 1 zeigt einen Fahrzeugverbund 11 mit einem ersten, einem zweiten und einem dritten bzw. weiteren zweiten jeweils als Lastkraftwagen 10, 20, 30 ausgebildeten Fahrzeug 10, 20, 30. Das erste Fahrzeug 10 weist eine erste
Steuereinheit 12 auf. Das zweite Fahrzeug 20 weist eine zweite Steuereinheit 22 auf. Das dritte bzw. weitere zweite Fahrzeug 30 weist eine weitere zweite bzw. dritte Steuereinheit 32 auf. Die Steuereinheiten 12, 22, 32 umfassen zumindest je einen Prozessor, ein Kommunikationsmodul, eine Antenne und einen Speicher. Die Steuereinheiten 12, 22, 32 bzw. die Kommunikationsmodule der
Steuereinheiten 12, 22, 32 sind eingerichtet, eine Fahrzeug-zu- Fahrzeug- Kommunikation zwischen den Fahrzeugen 10, 20, 30 zu ermöglichen.
Insbesondere werden zwischen den Fahrzeugen Fahrzeugverbund- Kontrollnachrichten (PCM) ausgetauscht bzw. Signale mit PCM übertragen.
Die Steuereinheiten 12, 22, 32 sind zur Kommunikation und entsprechenden Verarbeitung der für die Steuerung in dem Fahrzeugverbund 11 bzw. Platoon 11 notwendigen Daten ausgebildet. Hierzu ist die Antenne der jeweiligen
Steuereinheit 12, 22, 32 als eine Sende-/Empfangsantenne bspw. zur GSM- /UMTS-/LTE-/5G- Kommunikation ausgebildet. In jeder der Steuereinheiten 12, 22, 32, insbesondere in dem jeweiligen Speicher, ist eine Software installiert, die Platooning für die Lastkraftwagen 10, 20, 30 ermöglicht und mit den bisher öffentlich definierten Nachrichten mit anderen Fahrzeugen und den Fahrzeugen 10, 20, 30 des Platoons 11 kommuniziert.
Insbesondere sind die Steuereinheiten 12, 22, 32 eingerichtet, abzugebende Nachrichten unter Verwendung eines kryptographischen Schlüssels und eines symmetrischen Verschlüsselungsverfahrens zu verschlüsseln und empfangene Nachrichten entsprechend zu entschlüsseln. Das heißt, mit anderen Worten, die Steuereinheiten 12, 22, 32 sind eingerichtet, eine symmetrische verschlüsselte Kommunikation zwischen den Fahrzeugen 10, 20, 30 zu ermöglichen. Hierbei ist der kryptographische Schlüssel ein symmetrischer Gruppenschlüssel. Das heißt, mit anderen Worten, jede der Steuereinheiten 12, 22, 32 ist eingerichtet, unter Verwendung eines Schlüsselerzeugungsverfahrens und eines bisher gültigen symmetrischen Schlüssels einen neuen gültigen symmetrischen Schlüssel als Gruppenschlüssel zu ermitteln. Weiter sind die Steuereinheiten 12, 22, 32 eingerichtet, auf analoge Weise unter Verwendung des
Schlüsselerzeugungsverfahrens und des gültigen Schlüssels einen
Reserveschlüssel zu ermitteln.
Die Steuereinheiten 12, 22, 32 sind eingerichtet, ein Signal umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer der Steuereinheiten 12, 22, 32 verschlüsselte Nachricht zu empfangen. Weiter sind die
Steuereinheiten 12, 22, 32 eingerichtet, eine Entschlüsselbarkeit der
verschlüsselten Nachricht unter Verwendung eines gültigen symmetrischen Schlüssels der jeweiligen Steuereinheit 12, 22, 32 oder eines mittels der
jeweiligen Steuereinheit 12, 22, 32 ermittelten symmetrischen Reserveschlüssels zu ermitteln.
Ferner sind die Steuereinheiten 12, 22, 32 eingerichtet, die empfangene
verschlüsselte Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit unter Verwendung des gültigen symmetrischen Schlüssels der jeweiligen
Steuereinheit 12, 22, 32 oder des symmetrischen Reserveschlüssels der jeweiligen Steuereinheit 12, 22, 32 zu entschlüsseln. Das heißt, mit anderen
Worten die Steuereinheiten 12, 22, 32 sind eingerichtet, die verschlüsselte
Nachricht unter Verwendung des gültigen symmetrischen Schlüssels bzw. des Gruppenschlüssels zu entschlüsseln, wenn die Nachricht unter Verwendung des gültigen symmetrischen Schlüssels entschlüsselbar ist. Ebenso sind die
Steuereinheiten 12, 22, 32 eingerichtet die verschlüsselte Nachricht unter
Verwendung des jeweiligen Reserveschlüssels zu entschlüsseln, wenn die
Nachricht unter Verwendung des gültigen symmetrischen Schlüssels nicht, jedoch unter Verwendung des Reserveschlüssels der jeweiligen Steuereinheit 12, 22, 32 entschlüsselbar ist.
Schließlich sind die Steuereinheiten 12, 22, 32 eingerichtet, das jeweilige
Fahrzeug 10, 22, 30 basierend auf einem Inhalt der entschlüsselten Nachricht anzusteuern. Hierbei sind die Steuereinheiten 12, 22, 32 eingerichtet, eine
Antriebseinheit, eine Lenkeinheit und eine Bremseinheit des jeweiligen
Fahrzeugs 10, 20, 30 zu steuern. Insbesondere sind die Steuereinheiten 12, 22,
32 zur Steuerung der Fahrgeschwindigkeit (z. B. Tempomat, Motorsteuerung, Bremssteuerung, Lenkregelung) eingerichtet.
Fig. 2 zeigt eine schematische Darstellung eines Verfahrens zum Steuern eines Fahrzeugs 20, 30 eines Fahrzeugverbunds 11 gemäß Fig. 1.
In Schritt 110 wird eine Fahrzeuginformation des ersten Fahrzeugs 10 mittels der ersten Steuereinheit 12 empfangen. Hierbei umfasst die Fahrzeuginformation eine Information bezüglich eines geänderten Fahrzeugidentifikators des ersten Fahrzeugs 10. Zum Beispiel ist der geänderte Fahrzeugidentifikator ein geändertes Pseudonym des ersten Fahrzeugs 10. Denkbar ist, dass der Fahrzeugidentifikator nach
Zurücklegen einer definierten Fahrstreckenlänge auf einer Fahrstrecke des Fahrzeugverbunds oder nach einer definierten Zeitdauer automatisiert geändert bzw. gewechselt wird, um einen Schutz einer Privatheit bei einer Kommunikation zwischen den Fahrzeugen 10, 20, 30 zu verbessern.
In Schritt 120 wird aufgrund des geänderten Fahrzeugidentifikators des ersten
Fahrzeugs 10 der gültige symmetrische Schlüssel der ersten Steuereinheit 12 durch den Reserveschlüssel der ersten Steuereinheit 12 ersetzt. Der Reserveschlüssel wurde zuvor unter Verwendung des Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der ersten Steuereinheit 12 mittels der ersten Steuereinheit 12 ermittelt. Das heißt, mit anderen Worten, der neue gültige symmetrische Schlüssel der ersten Steuereinheit 12 entspricht dem bisherigen Reserveschlüssel der ersten Steuereinheit 12.
In Schritt 130 wird eine Nachricht unter Verwendung des neuen gültigen
symmetrischen Schlüssels bzw. des bisherigen Reserveschlüssels der ersten
Steuereinheit 12 kryptographisch verschlüsselt.
In Schritt 140 wird ein Funksignal mit der in Schritt 130 verschlüsselten Nachricht von der ersten Steuereinheit 12 an die zweite Steuereinheit 22 und die dritte Steuereinheit 32 abgegeben.
In Schritt 150 wird das von der ersten Steuereinheit 12 abgegebene Signal umfassend die unter Verwendung des neuen gültigen symmetrischen Schlüssels der ersten Steuereinheit 12 verschlüsselte Nachricht mittels der Steuereinheiten 22, 32 der weiteren Fahrzeuge 20, 30 des Fahrzeugverbunds 11 empfangen. Insbesondere wird das Signal in Schritt 154 von der zweiten Steuereinheit und in Schritt 156 von der dritten Steuereinheit empfangen.
In Schritt 160 wird eine Entschlüsselbarkeit der empfangenen verschlüsselten
Nachricht mittels der Steuereinheiten 22, 32 der weiteren Fahrzeuge 20, 30 ermittelt. Insbesondere wird die Entschlüsselbarkeit der Nachricht in Schritt 164 von der zweiten Steuereinheit 22 und in Schritt 166 von der dritten Steuereinheit 32 ermittelt. Hierbei wird ermittelt, ob die verschlüsselte Nachricht mittels des gültigen symmetrischen Schlüssels der jeweiligen weiteren Steuereinheit 22, 32 oder mittels des
symmetrischen Reserveschlüssels der jeweiligen Steuereinheit 22, 32 entschlüsselt werden kann. Die gültigen symmetrischen Schlüssel der weiteren Steuereinheiten 22, 32 sind identisch. Auch sind die symmetrischen Reserveschlüssel der weiteren Steuereinheiten identisch.
Zum Ermitteln der Entschlüsselbarkeit wird ein in der Nachricht enthaltener
Schlüsselidentifikator des gültigen symmetrischen Schlüssels der ersten Steuereinheit 12 mit einem Schlüsselidentifikator des gültigen symmetrischen Schlüssels der jeweiligen weiteren Steuereinheit 22, 32 und eines Schlüsselidentifikators des
Reserveschlüssels der jeweiligen weiteren Steuereinheit 22, 32 verglichen. In diesem Ausführungsbeispiel ist der Schlüsselidentifikator des gültigen symmetrischen
Schlüssels der ersten Steuereinheit 12 verschieden von dem Schlüsselidentifikator des gültigen symmetrischen Schlüssels der jeweiligen weiteren Steuereinheit 22, 32 und identisch mit dem Schlüsselidentifikator des Reserveschlüssels der jeweiligen weiteren Steuereinheit 22, 32. Das heißt, mit anderen Worten, die empfangene Nachricht kann mittels des Reserveschlüssels der jeweiligen weiteren Steuereinheit 22, 32
entschlüsselt werden.
Daher wird in Schritt 170 der jeweils gültige symmetrische Schlüssel der weiteren Steuereinheiten 22, 32 durch den Reserveschlüssel der jeweiligen Steuereinheit 22, 32 ersetzt. Der Reserveschlüssel wurde zuvor unter Verwendung des
Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der jeweiligen Steuereinheit 22, 32 ermittelt. Das heißt, mit anderen Worten, der neue gültige symmetrische Schlüssel der weiteren Steuereinheiten 22, 32 entspricht dem bisherigen Reserveschlüssel der jeweiligen Steuereinheit 22, 32. Insbesondere wird in Schritt 174 der Schlüssel der zweiten Steuereinheit 22 und in Schritt 176 der Schlüssel der dritten Steuereinheit 32 entsprechend ersetzt.
In Schritt 180 wird die empfangene verschlüsselte Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit kryptographisch entschlüsselt. In diesem
Ausführungsbeispiel wird die verschlüsselte Nachricht unter Verwendung des symmetrischen Reserveschlüssels der weiteren Steuereinheiten 22, 32 entschlüsselt. Insbesondere wird in Schritt 184 die verschlüsselte Nachricht mittels der zweiten Steuereinheit 22 und in Schritt 186 die verschlüsselte Nachricht mittels der dritten Steuereinheit 32 entschlüsselt.
In Schritt 190 wird ein neuer symmetrischer Reserveschlüssel der Steuereinheiten 12, 22, 32 unter Verwendung des Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der jeweiligen Steuereinheit 12, 22, 32 ermittelt.
Insbesondere wird in Schritt 192 der neue symmetrische Reserveschlüssel der ersten Steuereinheit 12, in Schritt 194 der neue symmetrische Reserveschlüssel der zweiten Steuereinheit 22 und in Schritt 196 der neue symmetrische Reserveschlüssel der dritten Steuereinheit 32 ermittelt.
In Schritt 200 werden die weiteren Fahrzeuge 20, 30 des Fahrzeugverbunds 11 basierend auf der entschlüsselten Nachricht angesteuert. Insbesondere wird in Schritt 204 das zweite Fahrzeug 20 und in Schritt 206 das dritte Fahrzeug 30 basierend auf der entschlüsselten Nachricht angesteuert. In diesem Ausführungsbeispiel wird basierend auf dem Inhalt der entschlüsselten Nachricht eine zweite Bremseinheit des zweiten Fahrzeugs 20 und eine dritte Bremseinheit 30 des dritten Fahrzeugs 30 angesteuert, um einen räumlichen Abstand zwischen den Fahrzeugen 10, 20, 30 zu vergrößern.
In Schritt 210 wird ein Funksignal mit einer unter Verwendung des neuen gültigen symmetrischen Schlüssels bzw. des bisherigen Reserveschlüssels der zweiten Steuereinheit 22 verschlüsselten Nachricht von der zweiten Steuereinheit 22 an die erste Steuereinheit 12 und die dritte Steuereinheit 32 abgegeben.
Das Verfahren kann durch analoge Schritte des Empfangens des von der zweiten Steuereinheit 22 abgegebenen Signals, das Ermitteln der Entschlüsselbarkeit der von diesem Signal umfassten Nachricht, des Entschlüsselns der verschlüsselten Nachricht und des Ansteuerns des jeweiligen Fahrzeugs 10, 30 fortgesetzt werden.
Umfasst ein Ausführungsbeispiel eine„und/oder“-Verknüpfung zwischen einem ersten Merkmal und einem zweiten Merkmal, so ist dies so zu lesen, dass das Ausführungsbeispiel gemäß einer Ausführungsform sowohl das erste Merkmal als auch das zweite Merkmal und gemäß einer weiteren Ausführungsform
entweder nur das erste Merkmal oder nur das zweite Merkmal aufweist.

Claims

Ansprüche
1. Verfahren (100) zum Ansteuern eines Fahrzeugs (20, 30), mit folgenden Schritten:
Empfangen (150, 154, 156) eines Signals umfassend eine unter
Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit (12) eines ersten Fahrzeugs (10) verschlüsselte Nachricht mittels einer zweiten Steuereinheit (22, 32) eines anzusteuernden zweiten Fahrzeugs (20, 30);
Ermitteln (160, 164, 166) einer Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung
eines gültigen symmetrischen Schlüssels der zweiten
Steuereinheit (22, 32) oder
eines mittels der zweiten Steuereinheit (22, 32) ermittelten symmetrischen Reserveschlüssels der zweiten Steuereinheit (22, 32)
mittels der zweiten Steuereinheit (22, 32);
Entschlüsseln (180, 184) der verschlüsselten Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit unter Verwendung
des gültigen symmetrischen Schlüssels der zweiten Steuereinheit (22, 32) oder
des symmetrischen Reserveschlüssels der zweiten Steuereinheit (22, 32)
mittels der zweiten Steuereinheit (22, 32); und
Ansteuern des anzusteuernden zweiten Fahrzeugs (20, 30) basierend auf der entschlüsselten Nachricht.
2. Verfahren (100) nach Anspruch 1, dadurch gekennzeichnet, dass die
Nachricht einen Schlüsselidentifikator des zum Verschlüsseln der Nachricht verwendeten symmetrischen Schlüssels umfasst und die Entschlüsselbarkeit der verschlüsselten Nachricht basierend auf dem Schlüsselidentifikator ermittelt wird.
3. Verfahren (100) nach Anspruch 1 oder 2, gekennzeichnet durch einen Schritt des Ermittelns des symmetrischen Reserveschlüssels der zweiten Steuereinheit (22, 32) unter Verwendung eines
Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der zweiten Steuereinheit (22, 32) mittels der zweiten Steuereinheit (22, 32).
4. Verfahren (100) nach Anspruch 3, gekennzeichnet durch einen Schritt des Ermittelns (190, 192, 294, 196) eines symmetrischen Reserveschlüssels der ersten Steuereinheit (12) unter Verwendung desselben
Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der ersten Steuereinheit (12) mittels der ersten Steuereinheit (12), um den gültigen symmetrischen Schlüssel der ersten Steuereinheit (12) durch den ermittelten symmetrischen Reserveschlüssel zu ersetzen.
5. Verfahren (100) nach einem der vorherigen Ansprüche, gekennzeichnet durch einen Schritt des Ersetzens (120, 170, 174, 176) des gültigen symmetrischen Schlüssels der ersten und/oder zweiten Steuereinheit (12,
22, 32) durch den mittels der jeweiligen Steuereinheit (12, 22, 32) ermittelten symmetrischen Reserveschlüssel.
6. Verfahren (100) nach Anspruch 5, dadurch gekennzeichnet, dass das Ersetzen (120, 170, 174, 176) des gültigen symmetrischen Schlüssels durch den ermittelten symmetrischen Reserveschlüssel von
der ermittelten Entschlüsselbarkeit der verschlüsselten Nachricht und/oder
einer Fahrzeuginformation oder einer Fahrinformation des jeweiligen Fahrzeugs
abhängt.
7. Verfahren (100) nach einem der Ansprüche 3 bis 6, gekennzeichnet durch einen Schritt des Übertragens einer, bevorzugt verschlüsselten, Information bezüglich des Schüsselerzeugungsverfahrens zwischen den Fahrzeugen (10, 20, 30), um das Ermitteln identischer symmetrischer Schlüssel mittels der verschiedenen Steuereinheiten (12, 22, 32) zu ermöglichen.
8. Verfahren (100) nach einem der vorherigen Ansprüche, gekennzeichnet durch einen Schritt des Abgebens (140, 210) eines Signals umfassend eine unter Verwendung des gültigen symmetrischen Schlüssels der ersten und/oder zweiten Steuereinheit (12, 22, 32) verschlüsselte Nachricht mittels der jeweiligen Steuereinheit (12, 22, 32), um das die Nachricht empfangende erste und/oder zweite Fahrzeug (10, 20, 30) basierend auf der Nachricht anzusteuern.
9. Verfahren (100) nach einem der vorherigen Ansprüche, dadurch
gekennzeichnet, dass im Schritt des Ansteuerns (200, 204, 206) des ersten und/oder zweiten Fahrzeugs (20, 30) eine der folgenden Einheiten des ersten und/oder zweiten Fahrzeugs (20, 30), insbesondere mittels der ersten und/oder zweiten Steuereinheit (22, 32), angesteuert wird: Antriebseinheit, Bremseinheit, Lenkeinheit, Kommunikationseinheit, Anzeigeeinheit.
10. Computerprogramm, das eingerichtet ist, das Verfahren (100) nach einem der Ansprüche 1 bis 9 auszuführen bzw. zu steuern.
11. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 10 gespeichert ist.
12. Steuereinheit (22, 32) zum Ansteuern eines Fahrzeugs (20, 30), die dazu eingerichtet ist,
ein Signal umfassend eine unter Verwendung eines gültigen
symmetrischen Schlüssels einer ersten Steuereinheit (12) eines ersten Fahrzeugs (10) verschlüsselte Nachricht zu empfangen,
eine Entschlüsselbarkeit der verschlüsselten Nachricht unter
Verwendung
eines gültigen symmetrischen Schlüssels der Steuereinheit (22, 32) oder
eines mittels der Steuereinheit (22, 32) ermittelten symmetrischen Reserveschlüssels der Steuereinheit (22, 32)
zu ermitteln,
die verschlüsselte Nachricht in Abhängigkeit von der ermittelten
Entschlüsselbarkeit unter Verwendung des gültigen symmetrischen Schlüssels der Steuereinheit (22, 32) oder
des symmetrischen Reserveschlüssels der Steuereinheit (22, 32) zu entschlüsseln, und
- ein anzusteuerndes zweites Fahrzeug (20, 30) basierend auf der
entschlüsselten Nachricht anzusteuern.
13. Verbund von Steuereinheiten (12, 22, 32) umfassend zumindest eine an einem ersten Fahrzeug angeordnete erste Steuereinheit (12) gemäß Anspruch 12 und eine an einem zweiten Fahrzeug (20, 30) angeordnete zweite Steuereinheit (22, 32) gemäß Anspruch 12.
PCT/EP2020/061689 2019-05-27 2020-04-28 Verfahren zum ansteuern eines fahrzeugs WO2020239344A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US17/595,775 US11909726B2 (en) 2019-05-27 2020-04-28 Method for controlling a vehicle
CN202080054663.5A CN114175571A (zh) 2019-05-27 2020-04-28 用于操控车辆的方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019207753.6A DE102019207753A1 (de) 2019-05-27 2019-05-27 Verfahren zum Ansteuern eines Fahrzeugs
DE102019207753.6 2019-05-27

Publications (1)

Publication Number Publication Date
WO2020239344A1 true WO2020239344A1 (de) 2020-12-03

Family

ID=70471051

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/061689 WO2020239344A1 (de) 2019-05-27 2020-04-28 Verfahren zum ansteuern eines fahrzeugs

Country Status (4)

Country Link
US (1) US11909726B2 (de)
CN (1) CN114175571A (de)
DE (1) DE102019207753A1 (de)
WO (1) WO2020239344A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120328098A1 (en) * 2011-06-23 2012-12-27 Infosys Limited System and method for generating session keys
WO2017153240A1 (de) * 2016-03-11 2017-09-14 Audi Ag Kraftfahrzeug mit einer kommunikationseinheit für mehrere steuereinheiten
DE102018214354A1 (de) 2018-08-24 2020-02-27 Robert Bosch Gmbh Erstes fahrzeugseitiges Endgerät, Verfahren zum Betreiben des ersten Endgeräts, zweites fahrzeugseitiges Endgerät und Verfahren zum Betreiben des zweiten fahrzeugseitigen Endgeräts

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3552648B2 (ja) * 2000-06-20 2004-08-11 インターナショナル・ビジネス・マシーンズ・コーポレーション アドホック無線通信用データ送受システム及びアドホック無線通信用データ送受方法
US7761251B2 (en) * 2007-06-15 2010-07-20 Gm Global Technology Operations, Inc. Systems and method for improving accuracy of sensor signals received via SENT protocol
JP4861261B2 (ja) * 2007-06-28 2012-01-25 株式会社東海理化電機製作所 車車間通信システム
JP5789745B2 (ja) * 2010-05-31 2015-10-07 パナソニックIpマネジメント株式会社 基地局装置
CN107623912B (zh) * 2016-07-15 2020-12-11 中兴通讯股份有限公司 一种车联网终端之间安全通信的方法及装置
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP2019004335A (ja) * 2017-06-15 2019-01-10 パナソニックIpマネジメント株式会社 移動関係通信システム
DE102017213298A1 (de) * 2017-08-01 2019-02-07 Osram Gmbh Datenübermittlung an ein Kraftfahrzeug

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120328098A1 (en) * 2011-06-23 2012-12-27 Infosys Limited System and method for generating session keys
WO2017153240A1 (de) * 2016-03-11 2017-09-14 Audi Ag Kraftfahrzeug mit einer kommunikationseinheit für mehrere steuereinheiten
DE102018214354A1 (de) 2018-08-24 2020-02-27 Robert Bosch Gmbh Erstes fahrzeugseitiges Endgerät, Verfahren zum Betreiben des ersten Endgeräts, zweites fahrzeugseitiges Endgerät und Verfahren zum Betreiben des zweiten fahrzeugseitigen Endgeräts

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MAXIM RAYA ET AL: "Securing vehicular ad hoc networks", JOURNAL OF COMPUTER SECURITY, vol. 15, no. 1, 1 January 2007 (2007-01-01), NL, pages 39 - 68, XP055542325, ISSN: 0926-227X, DOI: 10.3233/JCS-2007-15103 *

Also Published As

Publication number Publication date
US20220224676A1 (en) 2022-07-14
DE102019207753A1 (de) 2020-12-03
US11909726B2 (en) 2024-02-20
CN114175571A (zh) 2022-03-11

Similar Documents

Publication Publication Date Title
EP3157281B1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs
DE102012204880B4 (de) Verfahren und Fahrzeug-zu-X-Kommunikationssystem zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften
DE102016218982B3 (de) Verfahren zur Kommunikation von Fahrzeugen
EP3157190B1 (de) Verfahren zur zertifizierung durch ein steuergerät eines fahrzeugs
DE102016110169A1 (de) Diebstahlverhinderung für autonome Fahrzeuge
DE112017003448T5 (de) Fahrzeugkommunikationssystem und Verfahren
EP3582126B1 (de) Kommunikationsverfahren, computerprogrammprodukt und computersystem
DE102012224421A1 (de) Fahrzeuggebundenes system und kommunikationsverfahren
EP3785421B1 (de) Verfahren zum anonymisierten bereitstellen von daten eines ersten fahrzeugs für eine fahrzeugexterne servereinrichtung sowie anonymisierungsvorrichtung und kraftfahrzeug
DE102018101479A1 (de) Steuerungsschnittstelle für ein autonomes fahrzeug
EP3614618B1 (de) Erstes fahrzeugseitiges endgerät, verfahren zum betreiben des ersten endgeräts, zweites fahrzeugseitiges endgerät und verfahren zum betreiben des zweiten fahrzeugseitigen endgeräts
EP4128646B1 (de) Nutzung quantensicherer schlüssel mit endgeräteeinrichtungen
DE102019212958B3 (de) Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln nach einem Schlüsselableitungsmodell sowie Fahrzeug
EP3787222A1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs mit einem externen server, vorrichtung zur durchführung der schlüsselableitung bei dem verfahren sowie fahrzeug
EP4193567B1 (de) Verfahren zur sicheren ausstattung eines fahrzeugs mit einem individuellen zertifikat
EP3157192A1 (de) Verfahren und system für eine asymmetrische schlüsselherleitung
DE102018109080A1 (de) Systeme und verfahren zum verwenden mechanischer schwingung für ausserbandkommunikationen an bord eines fahrzeugs
DE102004056724B4 (de) Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz
DE102019103419A1 (de) Fahrzeugkommunikationssystem und Fahrzeugkommunikationsverfahren
DE102017102620A1 (de) Verfahren zur Positionsbestimmung eines mobilen BLE-Geräts
DE102019005608A1 (de) Transportschichtauthentizität und Sicherheit für Automobilkommunikation
EP3515785B1 (de) Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems
DE102021208914A1 (de) Verfahren zur Authentifizierung eines Endgeräts
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
WO2020239344A1 (de) Verfahren zum ansteuern eines fahrzeugs

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20722310

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20722310

Country of ref document: EP

Kind code of ref document: A1