Die Erfindung betrifft ein Verfahren zur Einrichtung eines drahtlosen Fahrzeugzugangs. Insbesondere betrifft die Erfindung ein Verfahren, bei welchem Berechtigungen zum drahtlosen Fahrzeugzugang von einem dem Fahrzeug zugeordneten ID-Geber auf ein separates Gerät übertragen werden.

Bei den meisten Kraftfahrzeugen ist heute ein Zugriff auf Funktionen des Kraftfahrzeuges, z.B. ein Entsperren einer Tür oder eine Freigabe zum Start des Fahrzeuges mit möglich, indem eine drahtlose Kommunikation zwischen Autorisierungs- oder Be ^¬ rechtigungsmitteln, z.B. einem ID-Geber, und einer fahrzeugsei- tigen Steuereinrichtung durchgeführt wird.

Ein vom zugreifenden Benutzer des Fahrzeuges mitgeführtes Gerät enthält dabei Identifikationsdaten, welche vom Fahrzeug über eine Funkverbindung abgefragt werden können und den Benutzer als rechtmäßigen Benutzer legitimieren. Wird auf diese Weise die Zugriffsberechtigung geprüft, können unterschiedliche Fahrzeugfunktionen freigegeben oder gesperrt werden, ohne dass der Benutzer aktiv einzugreifen braucht.

Grundsätzlich ist außerdem der Wunsch bekannt, dass Benutzer von Kraftfahrzeugen im Alltag möglichst wenig durch die mitgeführten Geräte und Schlüssel für die Kraftfahrzeuge belastet werden möchten. Andererseits stellen die Fahrzeugschlüssel und deren Funktionalitäten praktische Hilfsmittel für Fahrzeugbesit ^¬ zer dar, insbesondere in Spezialfällen (z.B. Batterie der Sendeeinrichtung leer oder kurzzeitige Berechtigung eines Dritten zum Zugriff aus das Fahrzeug) .

Es besteht daher der Wunsch auf Seiten der Kraftfahrzeugfüh- rer, einzelne Funktionen des Kraftfahrzeuges oder z.B. die All ^¬ tagsfunktion des Kraftfahrzeuges über Verwendung von Geräten zu legitimieren, die vom Benutzer ohnehin mitgeführt werden. Dies können beispielsweise Mobiltelefone sein. Gleichzeitig ist je ^¬ doch jederzeit sicherzustellen, dass die sicherheitsrelevanten Aspekte Beachtung finden, wonach eine Kopie eines Fahrzeug- schlüsseis bzw. ID-Gebers mit allgemein zugänglichen Mitteln und ohne vertrauenswürdige Autorisierungsstelle unterbunden wird.

Aufgabe der Erfindung ist es, die Bedienung und Autorisie ^¬ rung von Kraftfahrzeugfunktionen durch verfügbare Kommunikationseinrichtungen zu erleichtern.

Diese Aufgabe wird erfindungsgemäß gelöst durch das Verfah ^¬ ren mit den Merkmalen des Patentanspruchs 1.

Gemäß dem Verfahren zum Bereitstellen eines drahtlosen Fahrzeugzugangs wird erfindungsgemäß zunächst eine Verbindung zwischen einem dem Kraftfahrzeug zugeordneten ID-Geber und einer drahtlosen Kommunikationseinrichtung aufgebaut. Die drahtlose Kommunikationseinrichtung kann eine beliebige Kommunikationseinrichtung sein, z.B. ein Mobiltelefon. Sie muss lediglich die auf den Fahrzeugschlüssel abgestimmten Kommunikationsmittel mitbrin ^¬ gen, um eine Funkverbindung zwischen ID-Geber und Kommunikationseinrichtung aufzubauen. Für den Aufbau der Verbindung werden entweder gängige Protokolle und im Kommunikationsgerät vor ^¬ handene Programme abgearbeitet oder es werden spezielle Pro ^¬ gramme auf der Kommunikationseinrichtung zur Verfügung gestellt, um die Kommunikation abzuwickeln. Dazu können beispielsweise Anwendungen bzw. Applikationen auf die Kommunikationseinrichtung geladen werden, welche für die Kommunikation mit geeigneten ID- Gebern programmiert sind. Im Rahmen der Kommunikation wird eine in dem ID-Geber gespeicherte Identifikationskennung vom ID-Geber an die Kommunikationseinrichtung übertragen. Diese gespeicherte Identifikationskennung kennzeichnet den ID-Geber und identifiziert ihn eindeutig. Die Identifikationskennung kann im ID-Geber verschlüsselt vorliegen und außerdem über eine verschlüsselte Verbindung an die drahtlose Kommunikationseinrichtung übertragen werden. Weiterhin kann die im ID-Geber verschlüsselte Identifi- kationskennung auch in weiterhin verschlüsselter Form an die Kommunikationseinrichtung übermittelt werden, so dass sie in der Kommunikationseinrichtung gar nicht entschlüsselt oder entschlüsselbar vorliegt.

Anschließend wird eine Verbindung über ein herkömmliches öffentliches Kommunikationsnetzwerk zwischen der Kommunikationseinrichtung und einem Dienstanbieter/Serviceprovider bzw. einer bereitgestellten Schnittstelle des Dienstanbieters aufgebaut. Diese Verbindung kann sowohl über ein Mobilfunknetz als auch z.B. das Internet aufgebaut werden. Der Serviceprovider stellt auf seiner Seite Dienste und Geräte bereit, die jederzeit für den Aufbau einer Verbindung ansprechbar sind. Unter einem Serviceprovider sind in diesem Zusammenhang alle Arten von organisierten Einrichtungen zu verstehen, welche die Entgegennahme und Verarbeitung der übertragenen Daten erlauben.

Nach Aufbau der Verbindung wird die erste Identifikations- kennung, welche von dem ID-Geber an das Kommunikationsgerät übertragen wurde, an den Serviceprovider übertragen. Außerdem wird eine weitere Identifikationskennung an den Serviceprovider gesendet, welche ihrerseits die drahtlose Kommunikationseinrich ^¬ tung identifiziert und eindeutig kennzeichnet.

Beide Identifikationskennungen können verschlüsselt übertragen werden, um auf dem Transportweg einen Zugriff auf die Daten durch Unbefugte unterbinden zu können. Wurde die Identifika ^¬ tionskennung vom ID-Geber bereits verschlüsselt an die Kommunikationseinrichtung übertragen, so kann diese die verschlüsselte Identifikationskennung zusätzlich verschlüsseln oder in der ursprünglichen Verschlüsselung weiterleiten, die Kommunikationseinrichtung braucht zu diesem Zeitpunkt also gar nicht in Kennt ^¬ nis der wahren Identifikationskennung zu gelangen, obwohl dies ebenfalls möglich sein kann.

Auf Seiten des Serviceproviders wird die Identifikationsken ^¬ nung des ID-Gebers einer Echtheits- und Plausibilitätsprüfung unterzogen. Dazu kann der Serviceprovider auf einen Datenbestand zurückgreifen, welcher Informationen zu den Identifikationskennungen der ID-Geber enthält. In derartigen Datenbanken sind die Verknüpfungen zwischen ID-Gebern und den zugehörigen Fahrzeugen gespeichert .

Anhand der übermittelten Daten erzeugt das System des Serviceproviders durch ein Berechnungsverfahren eine mehrteilige Autorisierungsnachricht . Diese Autorisierungsnachricht berück ^¬ sichtigt sowohl die Identifikationskennung der mobilen drahtlosen Kommunikationseinrichtung, als auch die Identifikationskennung des ID-Gebers. Die mehrteilige Autorisierungsnachricht trägt demnach in sich eine Verknüpfung dieser beiden Identifika- tionskennungen .

Die Autorisierungsnachricht enthält Daten, die für eine Freigabe der Zugriffsrechte auf der drahtlosen Kommunikations ^¬ einrichtung von Seiten des Kraftfahrzeuges erforderlich sind. Teile dieser mehrteiligen Autorisierungsnachricht werden an die drahtlose Kommunikationseinrichtung zurück übermittelt, wobei eine beliebige Art der Verbindungswege genutzt werden kann. Ins ^¬ besondere kann das bereits genutzte öffentliche Kommunikations ^¬ netzwerk verwendet werden, welches bereits für den Transport der Daten zu der Einrichtung benutzt wurde.

Ein anderer Teil der Daten wird an eine Steuereinrichtung in dem Kraftfahrzeug übermittelt. Die Autorisierungsnachricht wird daher in mehreren Teilen auf zwei verschiedenen Wegen an zwei verschiedene Zielpositionen übermittelt. Dabei können die über ^¬ mittelten Teile an die jeweiligen Zielpositionen abschnittsweise übereinstimmen, also eine Datenschnittmenge aufweisen. Alterna ^¬ tiv können auch gänzlich unterschiedliche Datenteile übermittelt werden. Die Übermittelung der Teile der Autorisierungsnachricht an das Kraftfahrzeug bzw. die Steuereinrichtung in dem Kraftfahrzeug erfolgt über einen beliebigen Weg der Kommunikation. Ist das Kraftfahrzeug mit einem eigenen Kommunikationsmittel ge ^¬ eigneter Form ausgerüstet, kann die Übertragung unmittelbar erfolgen. Alternativ kann jedoch auch eine Übertragung durch

Zwischenschaltung einer vertrauenswürdigen Stelle erfolgen. So kann z.B. der Teil der Autorisierungsnachricht, welcher für die Steuereinrichtung in dem Kraftfahrzeug bestimmt ist, an eine wählbare Werkstatt oder einen Fahrzeughändler oder eine sonstige vertrauenswürdige Stelle übermittelt werden (z.B. Tankstelle), bei welcher der Benutzer vorstellig werden muss, um die Übertra ^¬ gung dieser Teile der Autorisierungsnachricht auf sein Kraft ^¬ fahrzeug vornehmen zu lassen. Dieser Schritt kann dann mit einer weiteren Verifikationsprüfung hinsichtlich der Berechtigung des Benutzers und des zugehörigen drahtlosen Kommunikationsgerätes erfolgen .

Nach Abschluss dieser Übermittlungen der Autorisierungsnach- richten sowohl an die drahtlose Kommunikationseinrichtung als auch an die Steuereinrichtung in dem Kraftfahrzeug kann zwischen diesen Komponenten eine Verbindung aufgebaut werden und seitens des Kraftfahrzeugs die Autorisierung für den Zugriff der Kommunikationseinrichtung auf das Kraftfahrzeug anhand der nun komplett vorliegenden Autorisierungsnachricht verifiziert werden. Nur wenn die Teile der Autorisierungsnachricht zueinander passen und eine positive Prüfung erfolgt, wird ein Zugriff von der drahtlosen Kommunikationseinrichtung auf das Kraftfahrzeug eingerichtet und zugelassen. Dieser Zugriff kann sich auf Teilfunktionen oder die komplette Funktionalität oder sogar erweiterte Funktion gegenüber dem Funktionen des ID-Gebers erstrecken.

Die Generierung der Teile der Autorisierungsnachricht kann durch beliebige Verfahren erfolgen, insbesondere ist jedoch ein bereits erprobtes Sicherungsverfahren für Nachrichtenübermitt ^¬ lungen mit verteilten Schlüsseln einsetzbar. So kann z.B. seitens des Serviceproviders ein Schlüsselpaar generiert werden, was auf unterschiedlichen Wegen und nach Verbindungsaufnahme der Kommunikationseinrichtung mit dem Kraftfahrzeug zusammengeführt wird. Nur wenn dieses Schlüsselpaar eine logische Prüfung besteht, kann von einer berechtigten und nicht korrumpierten Verbindungsaufnahme ausgegangen werden. Es kann sich beispielsweise um ein Schlüsselpaar handeln, wobei eine zu entschlüsselnde Nachricht mit einem der Schlüssel verschlüsselt und zusammen mit diesem Schlüssel übermittelt wird, und nur durch den anderen Schlüssel entschlüsselbar ist, um die Autorisierungsnachricht zu verifizieren (asynchrone Verschlüsselung) . Derartige Konzepte sind aus verschiedenen Bereichen der Technik bekannt, und werden beispielsweise im Bereich der Nachrichtenverschlüsselung seit langem eingesetzt.

Ein solches asymmetrisches Verschlüsselungssystem kann insbesondere eingesetzt werden, um einen öffentlichen Schlüssel seitens des Serviceproviders zu erstellen und zusammen mit einer verschlüsselten Authentifizierung an die Kommunikationseinrichtung zu senden und den zugehörigen zweiten, privaten Schlüssel an das Kraftfahrzeug zu senden. Auf diese Weise kann die Kommu ^¬ nikationseinrichtung mit dem öffentlichen Schlüssel verschlüsselte Nachrichten an das Kraftfahrzeug senden, wo diese mit dem privaten Schlüssel entschlüsselt werden. Neben der Authentifi ^¬ zierung kann ein solcher Vorgang auch der Sicherheit der nachfolgenden Kommunikation für Steuerbefehle verwendet werden.

Alternativ kann jedoch auch ein im Kraftfahrzeug hinterleg- ter und dort ggf. nochmals verschlüsselter geheimer Schlüssel bei der Kraftfahrzeugherstellung hinterlegt werden. Ein solcher geheimer Schlüssel ist dem Kraftfahrzeugsystem bekannt, jedoch auch dem Serviceprovider, welcher über detaillierte Daten über das Kraftfahrzeug verfügt, ähnlich wie ein Fahrzeughersteller über Schlüsseldaten zwecks Nachbestellung von Schlüsseln verfügt. Die Verfügbarkeit der Informationen ist üblicherweise durch eine Blindcodierung geschützt, da die Identifikationsken- nung des ID-Gebers aber an den Service-Provider gesendet wird, ist dieser zur Auffindung des passenden Schlüssels in der Lage.

Es kann durch den Serviceprovider daher eine mit dem privaten Schlüssel zu entschlüsselnde Botschaft und Autorisierungs- mitteilung an das mobile Kommunikationsgerät übermittelt werden sowie eine Autorisierungsnachricht , die ebenfalls mit dem gehei ^¬ men Schlüssel entschlüsselbar ist und die an das Kraftfahrzeug gesendet wird.

Im Rahmen der Erfindung sind zahlreiche weitere Möglichkei ^¬ ten gegeben, um die Übertragung einer Autorisierungsnachricht von dem Serviceprovider an die beiden Zielstellen, die Kommunikationseinrichtung einerseits und das Fahrzeug andererseits, ab ^¬ zusichern .

Der Serviceprovider kann außerdem neben den übermittelten Identifikationsdaten des Schlüssels und der Kommunikationseinrichtung weitere Daten berücksichtigen, bevor die entsprechenden Autorisierungsmitteilungen generiert werden. Beispielsweise kann es erforderlich sein, dass sich der Fahrzeughalter persönlich beim Serviceprovider meldet (z.B. durch ein Web-Interface oder ein Telefonanruf) , und die Beantragung einer Autorisierung seines Mobilgerätes ankündigt. Nur wenn eine solche Ankündigung vorliegt, kann innerhalb eines Zeitfensters eine Autorisierung vorgenommen werden.

Es ist wesentlich, dass für die Durchführung einer Autorisierung und für die Übermittlung einer entsprechenden Autorisie- rungsmitteilung an das Kraftfahrzeug die Zwischenschaltung eines Serviceproviders vorgesehen ist, welcher eine vertrauenswürdige Stellung einnimmt und welcher über zusätzliche Daten für das Kraftfahrzeug verfügt. Außerdem werden durch diese Maßnahme die Daten an zentraler Stelle speicherbar hinterlegt, was im Falle einer Aufhebung der Autorisierung, z.B. bei Verlust eines Mobilfunkgerätes, von Vorteil ist.

Gemäß der Erfindung wird die Kommunikation zwischen ID-Geber und drahtloser Kommunikationseinrichtung so gestaltet, dass eine Abfrage der relevanten Daten des ID-Gebers nur anhand einer auf den ID-Geber abgestimmten Kommunikation erfolgen kann. Zwar kann grundsätzlich ein standardisiertes Übermittlungsprotokoll ver ^¬ wendet werden, die Abfrage der Daten auf einer höheren Protokollebene kann jedoch durch die entsprechende Abfragesoftware seitens des Mobilfunkgerätes gemanagt werden. Dadurch kann ver ^¬ hindert werden, dass unerwünschte Zugriffe mit Standardgeräten zu einer Abfrage der relevanten Informationen genutzt werden können .

Vorzugsweise ist die Verbindung zwischen ID-Geber und draht- loser Kommunikationseinrichtung eine Funkverbindung mit kurzer Reichweite, insbesondere eine Verbindung nach dem NFC-Standard .

Der NFC-Standard (Near Field Communication) ist ein kurz- reichweitiger Übertragungsstandard für Daten. Die Reichweite der NFC-Technik beträgt nur einige Zentimeter und stellt dadurch sicher, dass keine unerwünschte Abfrage eines Kraftfahrzeugs- schlüssels erfolgen kann, z.B. wenn ein Gesprächspartner oder ein Restaurantnachbar einen entsprechenden Schlüssel mit sich führt. Im Übrigen kann es gemäß der Erfindung ohnehin vorgesehen sein, dass auf Seiten des ID-Gebers eine Bedienungseingabe er- folgen muss, um überhaupt eine Kommunikation zwischen ID-Geber und drahtlosem Kommunikationsgerät zu ermöglichen. Der entspre ^¬ chend mit einer NFC-Schaltung ausgestattete ID-Geber wird in die Nähe eines NFC-fähigen Mobilkommunikationsgerätes gebracht und eine Überragung der Identifikationsdaten vom ID-Geber auf das Mobilgerät kann erfolgen. Es sind bereits Telefongeräte am Markt erhältlich, welche eine NFC-Fähigkeit aufweisen. Diese Art von Funktechnik ist bewährt und etabliert und für den erfindungsge- mäßen Gebrauch der Übertragung von Identifikationsmeldungen bestens geeignet.

Im Übrigen kann das gesamte Konzept und die Infrastruktur der NFC Technik genutzt werden, um die Erfindung zu implementie- ren. Deren Standards können auch für die Erfindung verwendet werden. Allerdings ist die Erfindung auch mit unabhängigen

Strukturen und proprietären Standards oder anderen etablierten Standards einsetzbar.

In einer Weiterbildung der Erfindung wird die Verbindung zwischen der drahtlosen Kommunikationseinrichtung und der Steuereinrichtung des Fahrzeuges ebenfalls eine Verbindung kurzer Reichweite, hier jedoch insbesondere eine Verbindung nach dem Bluetooth-Standard aufgebaut. Auch diese Verbindungsart ist eine bewährte und etablierte Verbindungstechnik, über welche bereits Kraftfahrzeuge in Standard- oder Sonderausstattung verfügen. Die Bluetooth-Verbindung hat eine gegenüber der NFC-Funktechnik vergrößerter Reichweite und erlaubt die komfortable Anbindung des Mobilkommunikationsgerätes mit dem Kraftfahrzeug, um die endgül ^¬ tige Autorisierung durchzuführen.

In einer Weiterbildung wird nach erfolgter einmaliger positiver Authentifizierung zu dem mobilen Kommunikationsgerät eine eindeutige Kennung in der fahrzeugseitigen Steuereinrichtung hinterlegt und diese mobile Kommunikationseinrichtung als dauerhaft autorisiert gespeichert. Eine solche dauerhafte Autorisie- rung kann auch mit einem Zeitablauf eingerichtet werden, so dass nach einer gewissen Zeitdauer, z.B. einigen Wochen, die Autorisierung wiederholt oder erneuert werden muss. Dieses Verfahren hat den Vorteil, dass nach einmal erfolgter dauerhafter Autorisierung ein netzunabhängiger und dauerhafter Zugriff auf das Kraftfahrzeug bereitgestellt wird, ohne dass regelmäßig eine Au- torisierungsverbindung zwischen Kommunikationseinrichtung und Fahrzeug erforderlich ist. Vorzugsweise wird die Autorisierung nur erfolgreich durchgeführt, wenn das Verfahren mehrmals, mit einem vorgegebenen zeitlichen Mindestabstand wiederholt wird. Es ist zum Beispiel zur Erhöhung der Sicherheit sinnvoll, wenn die Autorisierungsanfrage mit einem Mindestabstand von einigen Stun ^¬ den oder Tagen mit identischen Geräten wiederholt werden muss. Dadurch kann ausgeschlossen werden, dass ein kurzzeitig in den Besitz des ID-Gebers gelangter Unberechtigter die Autorisierung durchführen kann. Innerhalb des vorgeschriebenen zeitlichen Ab- standes ist der Verlust des ID-Gebers nämlich höchstwahrschein ^¬ lich aufgefallen und der Verlust gemeldet, so dass eine erfolg ^¬ reiche Autorisierung unterbunden werden kann.

Es ist besonders vorteilhaft, wenn Teile der Autorisierungs ^¬ nachricht von dem Serviceprovider an die Steuereinrichtung in dem Kraftfahrzeug über ein öffentliches Mobilfunknetz übertragen werden. Viele Kraftfahrzeuge verfügen bereits über mobilfunk- netztaugliche Kommunikationseinrichtungen, z.B. GSM/GPRS-Einrichtungen. Diese Kommunikationswege können für den Service ^¬ provider verwendet werden, um die Autorisationsnachricht an das Kraftfahrzeug zu übermitteln. Es werden bestehende Strukturen verwendet, um eine besonders komfortable Übermittlung einzurich ^¬ ten .

In einer alternativen Gestaltung wird die Autorisierungsnachricht an die Steuereinrichtung in dem Kraftfahrzeug unter Verwendung eines mit der Steuereinrichtung koppelbaren Servicegerätes übertragen. Derartige Servicegeräte können z.B. an

Stützpunkten angebracht sein, z.B. Tankstellen oder Kfz-Werk- stätten oder Autohändlern, welche die Ankopplung an das Fahrzeug über die ohnehin vorhandene Serviceschnittstelle durchführen. Der Stützpunkt ruft die zum Fahrzeug gehörigen vom Servicepro ^¬ vider bereitgestellten Teile der Autorisierungsnachricht ab oder ihm wurden diese Teile bereits auf Kundenwahl im Voraus übermit ^¬ telt. Über die Serviceschnittstelle an dem Kraftfahrzeug kann dann mit dem Servicegerät die entsprechende Autorisierungsnach ^¬ richt übermittelt werden. Es ist zu beachten, dass dies allein noch keine Autorisierung der Kommunikationseinrichtung bedeutet. Mit dem Servicegerät allein kann also keinesfalls ein wider ^¬ rechtlicher Zugriff auf das Kraftfahrzeug, sozusagen eine

Schlüsselkopie erzeugt werden. Es ist stattdessen dafür das Zu ^¬ sammenspiel der gesamten Komponenten, insbesondere der Einschal ^¬ tung des Serviceproviders erforderlich.

In einer bevorzugten Aus führungs form der Erfindung wird auf dem drahtlosen Mobilkommunikationsgerät eine Anwendung von dem Serviceprovider abgerufen oder hinterlegt, welche den gesamten Ablauf der Verifizierung und der Autorisierungskommunikation ab wickelt. Eine solche Anwendung kann von dem Serviceprovider selbst entwickelt oder angeboten werden und kann z.B. auch indi vidualisiert nach Anforderung durch den Benutzer zielgerichtet auf die Kommunikation mit nur einem ID-Geber angepasst sein.

Fordert also im Vorhinein ein Benutzer des Kraftfahrzeuges mit seinem Namen und seiner Fahrzeugkennung (z.B. Fahrgestellnummer) beim Serviceprovider die Anwendung an, kann diese angepasst auf den speziellen ID-Geber erzeugt und an das drahtlose Kommunikationsgerät des Benutzers übermittelt werden. Auf diese Weise kann verhindert werden, dass mit einer allgemein anwendba ren Anwendung Kommunikationen mit mehreren Schlüsseln aufgenommen werden. Zu jedem Schlüssel würde eine spezielle Anwendung erzeugt und übermittelt.

In einer Weiterbildung der Erfindung wird vor dem Aufbauen einer Verbindung über ein öffentliches Kommunikationsnetzwerk zwischen der drahtlosen Kommunikationseinrichtung und einem Service Provider ein Master-Key als weitere

Identifikationskennung in der Kommunikationseinrichtung

gespeichert und diese wird zusammen mit der ersten

Identifikationskennung und der zweiten Identifikationskennung von der drahtlosen Kommunikationseinrichtung an den Service Provider übermittelt.

Ein Master-Key, welcher getrennt von dem Fahrzeugschlüssel an einem Sicheren Ort hinterlegt werden kann, erhöht die

Sicherheit des Verfahrens. Der Master Key wird, ähnlich einer PUK bei einer Mobiltelefonkarte, im Alltagsgebrauch des

Fahrzeuges nicht mitgeführt sondern nur für außergewöhnliche Autorisierungsvorgänge benötigt. Eine solche weitere Kennung verhindert, dass durch unrechtmäßige Aneignung des Schlüssels die Gefahr der Anfertigung einer Kopie besteht. Der Service Provider stellt die Autorisierungsnachricht nämlich nur aus, wenn auch der Master-Key, der dem Service-Provider ebenso wie die Identifikation des Schlüssels bekannt ist, zutreffend übermittelt wird. Vorzugsweise wird bei dem Verfahren außerdem überprüft, ob das Aufbauen der Verbindung zwischen der drahtlosen Kommunikationseinrichtung und der Steuereinrichtung des Kraftfahrzeugs innerhalb einer vorgegebenen Zeitspanne ab dem Übermitteln der Identifikationsdaten von der drahtlosen

Kommunikationseinrichtung an den Service Provider erfolgt.

Die Einbeziehung der Zeit als begrenzenden Parameter in das Verfahren erhöht die Sicherheit. Die Vorgegebene Zeitspanne kann in Abhängigkeit von der Zeit für die Übertragung der Daten und die Zeit für die RückÜbertragung der Autorisierungsnachricht gewählt werden. Werden die Daten unmittelbar über Funknetze an die Kommunikationseinrichtung und das Fahrzeug gesendet, so kann die erlaubte Gesamtzeit von der Beantragung der

Zugangsberechtigung für das mobile Kommunikationsgerät bis zur Paarung von Kommunikationsgerät und Fahrzeug auf einige Sekunden bis zu einigen Minuten begrenzt werden. Danach verfällt die Berechtigung und muss neu angefordert werden. Dieser Vorgang verhindert, dass Schlüsselinformationen auf Vorrat aus

Schlüsseln ausgelesen werden können und der Zugang zum Fahrzeug deutlich verzögert erfolgt.

Es ist in diesem Zusammenhang besonders bevorzugt, wenn die Autorisierungsnachricht eine Zeitkennung enthält, welche die Erzeugung der Autorisierungsnachricht oder die Gültigkeitsdauer der Autorisierungsnachricht angibt.

Anhand der Zeitkennung kann die Gültigkeit oder der Verfall der Autorisierung nachvollzogen werden. Anhand der Zeitkennung kann außerdem eine zeitliche Manipulation erkannt werden, wenn ein Abgleich mit einer Systemzeit des Fahrzeugs einerseits und der Kommunikationseinrichtung andererseits erfolgt.

Das erfindungsgemäße Verfahren wird nun anhand der beilie ^¬ genden Zeichnungen näher erläutert.

Figur 1 zeigt einen schematischen Überblick über das Zusammenwirken der einzelnen Komponenten bei Durchführung des Verfahrens gemäß einem ersten Ausführungsbeispiel.

Figur 2 zeigt ein Ablaufschema des Verfahrens gemäß dem ersten Ausführungsbeispiel. In Figur 1 sind die am Verfahren teilnehmenden Einrichtungen und ihre Wechselwirkung dargestellt. Ein ID-Geber 10 für Kraftfahrzeuge, ein Smartphone 20 und ein Fahrzeug 30 bilden körper ^¬ liche Funktionseinheiten des Verfahrens. Die durch Kreise darge- stellten Verfahrensteilnehmer sind der vertrauenswürdige

Dienstvermittler (VDM) 40, der Serviceprovider (SP) 50 und der Fahrzeughersteller bzw. dessen Servicestelle 60. Diese

letztgenannten Einrichtungen können komplexe funktionale Systeme symbolisieren, die auch über weite Flächenbereiche und

Funktionsbereiche verteilt sein können.

Der vertrauenswürdige Dienstvermittler (VDM) übernimmt die Verwaltung der Kontaktdaten zwischen Nutzer und Service

Provider. Dabei kann der VDM eine gesicherte Verwaltung und Bereitstellung von Anwendungen bieten, welche von dem Service Provider herausgegeben wurden.

Zu diesem Zweck kann der VDM mit den Betreibern von

Kommunikationsnetzen kooperieren und er erfüllt besondere

Anforderungen hinsichtlich Zertifizierung und

Vertrauenswürdigkeit .

Die körperlichen Verfahrensteilnehmer stehen wechselweise in

Kommunikationsverbindungen. So kann zwischen dem ID-Geber 10 und dem Smartphone 20 eine NFC-Kommunikation 15 aufgebaut werden. Zwischen Smartphone 20 und Fahrzeug 30 kann eine Bluetooth-Verbindung 25 aufgebaut werden.

Diese Kommunikationswege sind kurzreichweitige Funkkommuni ^¬ kationen. Dem gegenüber kann das Smartphone zum VDM und/oder zum SP eine Kommunikationsverbindung über Kommunikationsnetzwerke großer Reichweite aufbauen. Dazu kommen insbesondere die Mobil ^¬ funknetze oder das Internet in Frage.

In Figur 2 ist als Ablaufdiagramm das Zusammenwirken der

Einheiten aus Figur 1 beschrieben.

Bevor das Verfahren durchführbar ist, wird eine entsprechende Anwendung zur Abwicklung der Kommunikation des Smartphones 15 mit dem ID-Geber 10 und den weiteren Kommunikations- anfragen auf das Smartphone 10 geladen. Dies kann durch ein Abrufen der entsprechenden Applikation aus einer verfügbaren Online-Datenbank geschehen oder durch Kopplung des Smartphones 20 mit einem entsprechenden Datenträger, welcher die Anwendung gespeichert hat. Die Anwendung kann sowohl auf das Smartphone als auch auf den speziellen Fahrzeugtyp oder sogar den speziellen ID-Geber angepasst sein.

In Schritt 100 der Figur 2 wird diese Anwendung auf dem

Smartphone 20 gestartet. Der ID-Geber 10 und das Smartphone 20 werden in räumlicher Nähe zueinander gebracht und eine NFC-Kom- munikation 15 wird in Schritt 110 aufgebaut. Der Ablauf der An ^¬ wendung auf dem Smartphone 20 bewirkt, dass Identifikationsken- nungen von dem ID-Geber 10 über die NFC-Verbindung 15 an das

Smartphone 20 übermittelt werden. Dies geschieht in dem Schritt 120 in Figur 2. Diese Daten werden sogleich im Smartphone 20 auf Plausibilität überprüft werden, um Übertragungsfehler auszu ^¬ schließen und die Kompatibilität des Smartphones und der ent- sprechenden Anwendung auf dem Smartphone mit dem ID-Geber 10 zu prüfen .

In Schritt 130 wird die Identifikationskennung, die vom ID- Geber 10 an das Smartphone 20 übermittelt wurde, von dem

Smartphone 20 über ein öffentliches Kommunikationsnetzwerk an einen vertrauenswürdigen Dienstvermittler (VDM) 40 gesendet. Die Funktion eines VDM besteht darin, die Sicherheit bei der

Bereitstellung von Diensten unter Verwendung global nutzbarer Netze zur Verfügung zu stellen. Derartige Funktionen von VDMs sind aus Online-Bezahlvorgängen bekannt. Der VDM bildet eine Art Übergabepunkt zwischen dem eigentlichen Serviceprovider und einem Endbenutzer.

Der VDM 40 vermittelt in Schritt 140 die Anfrage des

Smartphones 20 an den SP 50. Dieser SP verifiziert schließlich die übermittelten Daten, insbesondere die übermittelten Identi- fikationskennungen . Anhand der einzigartigen Identifikationskennung des Schlüssels bzw. ID-Gebers 10 kann der Serviceprovider 50 auf die entsprechenden Fahrzeugdaten des Fahrzeugs 30 zurückgreifen und erzeugt eine mehrzellige Codesequenz in Schritt 150, die sowohl auf das Fahrzeug 30 als auch das Smartphone 20 ange- passt ist und die Daten des ID-Gebers 10 berücksichtigt.

Auf verschiedenen Wegen wird nun jeweils ein Teil der Codesequenz an die zu koppelnden Geräte zurückgeleitet. Ein erster Teil der Codesequenz wird wiederum über den VDM 40 von dem SP 50 an das Smartphone 20 übermittelt. Dies geschieht in den Schrit ^¬ ten 160A, 170A und 180A. Die erste Codesequenz wird im Zielgerät, dem Smartphone 20, gespeichert.

Eine zweite Codesequenz wird in Schritt 160B von dem SP 50 an den Automobilhersteller 60 geschickt, basierend auf den Daten, die der SP 50 anhand der Identifikationskennung für das Fahrzeug 30 ermittelt hat. In Schritt 170B übermittelt der Auto ^¬ mobilhersteller 60 die zweite Codesequenz an das Fahrzeug 30. Dies kann sowohl bei dem Aufenthalt des Fahrzeugs an einer Ser ^¬ vicestelle durch Ankopplung eines entsprechenden Servicegerätes geschehen, oder durch eine drahtlose Übermittlung über ein öffentliches Kommunikationsnetzwerk, sofern das Fahrzeug 30 über entsprechende Kommunikationsmittel verfügt.

In Schritt 180B wird die zweite Codesequenz im Fahrzeug ge ^¬ speichert .

Nach Abfolge dieser Schritte ist im Smartphone 20 die erste Codesequenz gespeichert, während im Fahrzeug 30 die zweite Code ^¬ sequenz gespeichert ist. In dem nun folgenden Kopplungsvorgang 190 zwischen Smartphone 20 und Fahrzeug 30 werden die Code ^¬ sequenzen übertragen und verifiziert und die Kopplungsfreigabe 200 bei positiver Verifizierung der Codesequenzen erzeugt.

Die dabei erforderliche Kommunikation zwischen Smartphone und Fahrzeug kann kabelgebunden stattfinden, es kann jedoch auch eine Bluetooth-Kommunikation zur drahtlosen Übertragung eingeleitet werden. Nach erfolgreicher Kopplung der beiden Komponenten Smartphone und Fahrzeug 30 wird die Zugangsberechtigung des Smartphone in dem Kraftfahrzeug in einer Steuereinrichtung gespeichert (Schritt 200) . Im Folgenden kann das Smartphone auf die freigegebenen Funktionen des Fahrzeuges auch gänzlich ohne Vorhandensein des ID-Gebers zugreifen.

Das erfindungsgemäße Verfahren kann in seiner Sicherheit noch weiter erhöht werden, wenn vor erfolgreicher Durchführung einer Kopplung die Bekanntgabe der Zugehörigkeit des Smartphones 20 zu dem legitimen Besitzer des Kraftfahrzeugs 30 anzumelden ist. Dazu kann der Besitzer beispielsweise durch einen Anruf mit dem Smartphone 20 oder Absenden einer SMS von dem Smartphone 20 an eine vorgegebene Rufnummer sein Smartphone als legitimes Kom ^¬ munikationsgerät voranmelden, wenn er von diesem Smartphone aus eine nur dem Besitzer zugängliche Information übermitteln. Dies kann beispielsweise eine Information oder Kennung sein, die vor Durchführung des Verfahrens via Bluetooth vom Fahrzeug an das Smartphone unter Kommunikationsleitung der Anwendung übermittelt wird, wobei zu diesem Zeitpunkt im Fahrzeug der legitime ID-Ge- ber in das Zündschloss des Kraftfahrzeugs eingesteckt sein muss. In diesem Zustand kann die Steuereinrichtung des Kraftfahrzeuges eine eindeutige Kennung über die Bluetooth-Verbindung an das Smartphone übermitteln, welche bei Durchführung des erfindungs ^¬ gemäßen Verfahrens als zusätzliche Identifikationskennung an den SP gesendet wird. Dadurch wird sichergestellt, dass das

Smartphone tatsächlich in einer vom Benutzer des Fahrzeuges kontrollierten Situation als legitimes Mittel für die Durchführung des entsprechenden Autorisierungsverfahrens gemäß der Erfindung berechtigt ist.