Die vorliegende Erfindung betrifft die Verifikation von Sensordaten. Insbesondere betrifft die Erfindung die Verifikation von Daten, die an Bord eines Kraftfahrzeugs abgetastet wurden.

An Bord eines Kraftfahrzeugs ist ein Sensor angebracht, der eine Größe abtastet, auf deren Basis das Kraftfahrzeug oder ein an Bord des Kraftfahrzeugs angebrachtes System gesteuert werden kann. Abgetastete Sensordaten können aus

verschiedenen Gründen gestört, verrauscht oder verfälscht sein, sodass eine

Steuerung auf Basis der Sensordaten im Allgemeinen riskant sein kann. Hat das gesteuerte System hohe Sicherheitsansprüche zu erfüllen, beispielsweise weil eine Fehlfunktion einen materiellen oder personellen Schaden hervorrufen kann, so wird üblicherweise entweder ein Sensor verwendet, dessen Betriebssicherheit und

Genauigkeit vorbestimmten Ansprüchen genügen, die beispielsweise in der ASIL- Spezifikation festgehalten sein können, oder es werden mehrere Sensoren

verwendet, um die gleiche Größe abzutasten. Korrespondieren die Sensordaten der mehreren Sensoren zueinander, so können die Sensordaten als plausibel oder vertrauenswürdig eingestuft werden.

Diese Vorgehensweise erfordert jedoch ein aufwändiges Sensorkonzept. Eine der vorliegenden Erfindung zu Grunde liegende Aufgabe besteht in der Angabe einer verbesserten Technik, die eine Plausibilisierung von Sensordaten erlaubt, die von einem Sensor an Bord eines Kraftfahrzeugs abgetastet wurden. Die Erfindung löst die Aufgabe mittels der Gegenstände der unabhängigen Ansprüche. Unteransprüche geben bevorzugte Ausführungsformen wieder.

Ein Verfahren umfasst Schritte des Abtastens erster Sensordaten von einem ersten Sensor an Bord eines ersten Kraftfahrzeugs; des Abtastens zweiter Sensordaten von einem zweiten Sensor, der sich im Bereich des ersten Kraftfahrzeugs befindet, wobei der zweite Sensor an in einer Einrichtung, insbesondere an Bord eines zweiten Kraftfahrzeugs oder an einer Infrastruktur angeordnet ist; des Vergleichens der abgetasteten ersten und zweiten Sensordaten miteinander; und des Bestimmens, dass die ersten Sensordaten vertrauenswürdig sind, falls sie zu den zweiten

Sensordaten korrespondieren. Dabei umfassen die zweiten Sensordaten eine Identifikation der Einrichtung und der Vergleich wird nur durchgeführt, falls die Identifikation der Einrichtung erfolgreich überprüft werden kann.

Dadurch kann sichergestellt werden, dass nur zweite Sensordaten einer bekannten Quelle zur Beurteilung der Vertrauenswürdigkeit der ersten Sensordaten verwendet werden. Sollten sich die zweiten Sensordaten als falsch heraussteilen, kann die Einrichtung, von der die zweiten Sensordaten empfangen wurden, benachrichtigt werden. Die Einrichtung kann dann den zweiten Sensor überprüfen und/oder die Aussendung zweiter Sensordaten aussetzen, bis das Problem gefunden wurde.

Außerdem kann ein Hinweis auf inkorrekte Sensordaten der Einrichtung an einer zentralen Stelle hinterlegt werden. Ein anderes erstes Kraftfahrzeug kann sich bei der zentralen Stelle über kürzlich bekannt gewordene falsche Sensordaten von der Einrichtung informieren und die Verarbeitung von der Einrichtung empfangener zweiter Sensordaten ablehnen.

Durch die Überprüfung der Identität der Einrichtung kann verhindert werden, dass sich Sensordaten zweifelhafter Qualität in einem Netzwerk mit einem oder mehreren ersten Kraftfahrzeugen fortpflanzen. Einer böswilligen Verbreitung manipulierter zweiter Sensordaten kann entgegen gewirkt werden. So kann auch einem Hackeroder Cyberangriff widerstanden werden, der ansonsten dazu geeignet sein könnte, einen öffentlichen Straßenverkehr einzuschränken.

Die Identifikation kann mittels eines asymmetrischen kryptographischen Verfahrens überprüft werden. Dazu kann eines von mehreren bekannten

Authentifizierungsverfahren mit asymmetrischen Schlüsseln verwendet werden. Mehrere solcher Verfahren sind seit längerer Zeit in Verwendung und können als sicher gelten. Das Verfahren kann öffentlich dokumentiert sein und eine

Implementation kann frei verfügbar sein. Das Verfahren kann leicht und

kostengünstig nutzbar sein. Von externen Anstrengungen zur Verbesserung des Authentifizierungsverfahrens kann profitiert werden. Solche Anstrengungen können insbesondere für weit verbreitete Verfahren permanent von unterschiedlichen Stellen geleistet werden.

Zur Durchführung eines Authentifizierungsverfahrens mit asymmetrischen

kryptographischen Schlüsseln wird in einer Ausführungsform seitens des ersten Kraftfahrzeugs eine Nachricht erstellt und an die Einrichtung übermittelt; die

Nachricht seitens der Einrichtung mit einem privaten Schlüssel der Einrichtung verschlüsselt und an das erste Kraftfahrzeug zurück übermittelt; die übermittelte Nachricht seitens des ersten Kraftfahrzeugs mit einem öffentlichen Schlüssel der Einrichtung entschlüsselt und mit der ursprünglichen Nachricht verglichen.

Enthält die entschlüsselte Nachricht die ursprüngliche Nachricht, so kann die Identität der Einrichtung erfolgreich überprüft werden. Andernfalls, wenn die ursprüngliche Nachricht nicht in der empfangenen Nachricht enthalten ist, kann die Identität nicht erfolgreich überprüft werden. Der Vergleich der empfangenen mit den lokal erhobenen Sensordaten kann dann entfallen. In einer weiteren Ausführungsform kann die übermittelte Nachricht noch weitere Informationen umfassen, insbesondere die zweiten Sensordaten. Kann die Identifikation der Einrichtung erfolgreich überprüft werden, so kann auch gleichzeitig davon ausgegangen werden, dass die

Kommunikation des ersten Kraftfahrzeugs mit der Einrichtung unverfälscht ist. Ferner kann in der übermittelten Nachricht ein Zeitstempel enthalten sein, sodass eine verschlüsselte Nachricht, die abgefangen und später dem ersten Kraftfahrzeug übermittelt wird, erkannt und verworfen werden kann.

Der öffentliche Schlüssel der Einrichtung kann von einer zentralen Stelle bezogen werden. Die zentrale Stelle kann einen Schlüsselserver („certificate authority“, CA) umfassen und beispielsweise als Server oder als Dienst, etwa in einer Cloud, realisiert sein. Mehrere allgemein anerkannte CAs sind derzeit bekannt und kommen für eine Verteilung öffentlicher Schlüssel in Frage. Zur Kommunikation mit der CA kann ein ähnliches Verfahren eingesetzt werden, wobei ein öffentlicher Schlüssel der CA an Bord des ersten Kraftfahrzeugs fest vorbestimmt sein kann. Die zentrale Stelle kann über einen Erfolg oder Misserfolg einer Überprüfung der Identifikation der Einrichtung benachrichtigt werden. So kann einerseits eine

Verbreitung zweifelhafter, falscher, ungenauer oder böswilliger Informationen eingedämmt werden. Andererseits ist es auch möglich, eine Einrichtung, die sich als gute Quelle für zweite Sensordaten erweist, zu belohnen. Die Belohnung kann in einer erhöhten zugeordneten Vertrauenswürdigkeit bestehen. Anders ausgedrückt kann den zweiten Sensordaten eine Vertrauenswürdigkeit zugeordnet werden, als Belohnung angehoben werden kann. Nach dem Prinzip mancher sozialer Netzwerke können sich so die besten und zuverlässigsten Quelle zweiter Sensordaten innerhalb einer Gruppe erste Kraftfahrzeuge verbessert durchsetzen.

Die Belohnung kann auch auf andere Weise erfolgen, beispielsweise durch eine materielle Kompensation oder eine verbesserte Verfügbarmachung anderer zweiter Sensordaten, wenn die Einrichtung ihrerseits zweite Sensordaten aus einer anderen Quelle beziehen möchte.

Die Identifikation kann ein mittels eines Sensors des ersten Kraftfahrzeugs abtastbares Merkmal umfassen. Das Merkmal kann wenigstens eines von einer Farbe, einem Typ, einer Bauform, einer Ausstattung oder einem amtlichen

Kennzeichen der Einrichtung umfassen. Der Sensor kann insbesondere einen optischen Sensor umfassen, beispielsweise eine Kamera. So kann einer

Übertragung einer Identifikation von einer Einrichtung auf eine andere

(„Identitätsdiebstahl“) entgegen gewirkt werden.

Die Identifikation kann auch eine Position der Einrichtung umfassen. Es ist üblich dass beispielsweise ein zweites Kraftfahrzeug seine tatsächliche Position regelmäßig bestimmt und an eine zentrale Stelle übermittelt, beispielsweise zu

Navigationszwecken. Übermittelt das zweite Kraftfahrzeug eine Position, die zwar im Bereich des ersten Kraftfahrzeugs liegt, aber von der an der zentralen Stelle hinterlegten Position abweicht, so kann die Identifikation nicht erfolgreich überprüft werden. Dadurch kann verhindert werden, dass zweite Sensordaten über einen Bereich ihrer eigentlichen Gültigkeit hinaus verwendet werden. Außerdem kann ein Angreifer, der zweite Sensordaten von einer Position an eine andere Überträgt, abgewehrt werden.

In noch einer weiteren Ausführungsform wird bestimmt, dass die zweiten

Sensordaten weniger vertrauenswürdig als die ersten Sensordaten sind. In der Folge kann eine Nachricht über mangelnde Vertrauenswürdigkeit an die Einrichtung, eine weitere Einrichtung oder eine zentrale Stelle gesandt werden. Anders ausgedrückt kann die Einrichtung, welche die zweiten Sensordaten bereitgestellt hat, von den möglicherweise fehlerhaften oder beschädigten Sensordaten unterrichtet werden, sodass einer weiteren Verbreitung entgegen gewirkt werden kann. Ein anderer Verkehrsteilnehmer im Bereich des ersten Kraftfahrzeugs kann gewarnt werden und zweite Sensordaten derselben Einrichtung mit besonderer Vorsicht behandeln oder verwerfen. Dazu kann sich das erste Kraftfahrzeug gegenüber der Einrichtung identifizieren, wie hierin beschrieben ist. Eine Warnung kann auch an eine zentrale Stelle ausgegeben werden, die beispielsweise andere Einrichtungen warnen kann.

Weitere Ausführungsformen der vorliegenden Erfindung betreffen vornehmlich die Bestimmung und Behandlung möglicherweise nicht vertrauenswürdiger Sensordaten.

Im Gegensatz zu bekannten Lösungen kann eine Vertrauenswürdigkeit der ersten Sensordaten auf der Basis von zweiten Sensordaten bestimmt werden, die von einer Quelle stammen, die nicht zum ersten Kraftfahrzeug gehört. So kann eine

Verbreitung und Vernetzung von Sensoren im Bereich des ersten Kraftfahrzeugs vorteilhaft ausgenutzt werden.

Bevorzugt befindet sich der zweite Sensor im Bereich des ersten Kraftfahrzeugs, wenn beide Sensoren einen überlappenden Abtastbereich aufweisen oder das gleiche bestimmbare Phänomen betreffen. Unterschiedliche Abtastzeitpunkte oder Abtastzeiträume können beim Vergleich berücksichtigt werden. Beispielsweise können die zweiten Sensorinformationen nach einer vorbestimmten Zeit als veraltet und somit als weniger vertrauenswürdig eingestuft werden. Der Verlust von Vertrauenswürdigkeit kann binär, graduell oder stufenlos bestimmt sein. Erste und zweite Sensordaten korrespondieren bevorzugt zueinander, wenn sie einander entsprechen, also nicht mehr als um ein vorbestimmtes Maß voneinander

abweichen, oder wenn beide die verarbeitungstechnische Ableitung des gleichen Umstands erlauben. Beispielsweise können beide Sensorwerte ein Objekt auf einer Fahrbahn vor dem ersten Kraftfahrzeug betreffen. Dazu können die Sensoren insbesondere eine berührungslose Abtastung eines Bereichs, etwa mittels Radar oder LiDAR, durchführen. Die Sensorwerte der beiden Sensoren korrespondieren zueinander, wenn das Objekt aufgrund der Sensorwerte der beiden Sensoren jeweils mit im Wesentlichen gleicher Größe, Oberfläche, Beschaffenheit oder einer anderen vorbestimmten Eigenschaft bestimmt werden kann.

Die zweiten Sensordaten können auf der Basis dritter Sensordaten verifiziert oder plausibilisiert sein, wobei die ersten Sensordaten als nicht vertrauenswürdig bestimmt werden, falls sie nicht zu den zweiten Sensordaten korrespondieren. Die ersten Sensordaten sind üblicherweise nicht verifiziert, sodass die verifizierten zweiten Sensordaten eine höhere Vertrauenswürdigkeit haben können. Weichen die ersten Sensordaten von den zweiten ab, können die zweiten Sensordaten an Stelle der ersten als Grundlage für eine vorbestimmte Steueraufgabe an Bord des

Kraftfahrzeugs dienen.

Die zweiten Sensordaten können insbesondere zusammen mit einer die

Vertrauenswürdigkeit der zweiten Sensordaten bescheinigenden Information bereitgestellt werden. Auf die Vertrauenswürdigkeit der zweiten Sensordaten kann mittels einer einfachen, beispielsweise binaren Information („Flag“) hingewiesen werden. Die Vertrauenswürdigkeitsinformation kann auch einen numerischen Wert annehmen. Es können auch mehrere Dimensionen der Vertrauenswürdigkeit bestimmt sein, beispielsweise eine Messentfernung, ein Signal-Rausch-Verhältnis, ein verwendeter Sensor, ein Alter der Sensordaten oder auf der Basis welcher Informationen eine Verifikationen stattgefunden hat. Anhand dieser

mehrdimensionalen Information kann bei nicht zueinander korrespondierenden Sensorwerten verbessert bestimmt werden, welchen Sensorinformationen die höhere Vertrauenswürdigkeit genießen und daher bevorzugt für eine Steueraufgabe zu verwenden sind. Die Information über die Vertrauenswürdigkeit kann kryptographisch abgesichert sein, beispielsweise mittels eines digitalen Zertifikats. So können die Sensordaten zusammen mit der Information und der Absicherung übermittelt werden, beispielsweise über eine drahtlose Kommunikationsverbindung.

Von verschiedenen zweiten Sensoren kann eine Vielzahl zweiter Sensordaten abgetastet werden, wobei sich die zweiten Sensoren jeweils im Bereich des ersten Kraftfahrzeugs befinden, wobei die zweiten Sensoren jeweils an Bord eines anderen als des ersten Kraftfahrzeugs oder an einer Infrastruktur angeordnet sind; und wobei die ersten Sensordaten als nicht vertrauenswürdig bestimmt werden, falls weniger zweite Sensordaten vorliegen, zu denen die ersten Sensordaten korrespondieren als zweite Sensordaten, zu denen die ersten Sensordaten nicht korrespondieren. So kann auf Basis der Sensordaten eine Mehrheitsentscheidung getroffen werden, welchen Sensordaten zu trauen ist und welchen nicht.

Verfahren nach einem der vorangehenden Ansprüche, wobei die zweiten

Sensordaten vom zweiten Sensor an eine zentrale Stelle übermittelt und dort gespeichert werden. Die zentrale Stelle kann fortlaufend zweite Sensordaten sammeln. Sollen die zweiten Sensordaten mit ersten Sensordaten verglichen werden, so können aus den abgespeicherten Sensordaten solche ausgewählt werden, die möglichst gut zu den ersten Sensordaten passen, beispielsweise bezüglich eines Mess-Orts, einer Mess-Art oder eines Messzeitpunkts. Für den Vergleich mit den ersten Sensordaten können auch mehrere zweite Sensordaten gegeneinander verifiziert werden. Dazu kann eine Vertrauenswürdigkeit der verifizierten Sensordaten bestimmt und dem Vergleich zur Grundlage gestellt werden.

In unterschiedlichen Varianten kann der Vergleich zwischen den ersten und den zweiten Sensordaten seitens der zentralen Stelle, seitens des ersten oder des zweiten Kraftfahrzeugs durchgeführt werden. Dazu können die erforderlichen

Sensordaten und weitere Informationen entsprechend zwischen der zentralen Stelle, dem ersten und dem zweiten Kraftfahrzeug übermittelt werden. Die Übermittlung erfolgt bevorzugt drahtlos. Die ersten und die zweiten Sensordaten können den gleichen Sachverhalt aus unterschiedlichen Perspektiven der jeweiligen Sensoren betreffen, wobei das

Vergleichen unter Berücksichtigung der unterschiedlichen Perspektiven erfolgt. Die Perspektive kann einen Abtastort und eine Abtastzeit umfassen. Begleitumstände einer Abtastung können eine Bewegungsgeschwindigkeit des Sensors gegenüber einem abgetasteten Objekt oder die Art oder Einstellung einer Messausrüstung umfassen, die den Sensor umfasst.

Die ersten Sensordaten können unterschiedliche Sachverhalte betreffen. In einer Ausführungsform betreffen sie einen Fahr- oder Bewegungszustand des ersten Kraftfahrzeugs. Der Fahrzustand kann insbesondere wenigstens eines von einer Position, einer Geschwindigkeit, einer Beschleunigung oder einem Abstand von einem vorbestimmten Objekt betreffen. Dadurch können grundlegende Parameter einer Bewegungsdynamik des ersten Kraftfahrzeugs, auf deren Basis das

Kraftfahrzeug oder eines seiner System gesteuert werden können, auf der Basis der zweiten Sensorwerte verifiziert werden.

Die Sensordaten können auch eine Konfiguration des ersten Kraftfahrzeugs umfassen. Die Konfiguration kann beispielsweise optisch von außen erkennbar sein und etwa ein vollständiges Schließen einer Tür oder eines Fensters, eines Glas- oder Schiebedachs oder eines Verdecks betreffen. Auch ein Funktionszustand einer Beleuchtungseinrichtung kann von der Konfiguration des ersten Kraftfahrzeugs umfasst sein. So kann eine einfache Sichtkontrolle aus einer fahrzeugexternen Perspektive dazu genutzt werden, eine mögliche Fehlkonfiguration des ersten Kraftfahrzeugs zu erkennen. Im Fall der Beleuchtungsanlage kann beispielsweise bestimmt werden, ob eine vorbestimmte Beleuchtung nach außen bereitgestellt ist oder nicht. Eine Fehlmessung des ersten Sensors, der beispielsweise nur einen Stromfluss durch die Beleuchtungsanlage bestimmt, kann so erkannt werden.

Die Sensordaten können ein Objekt oder eine Beschaffenheit eines Untergrunds in einem Bereich einer geplanten Fahrstrecke des ersten Kraftfahrzeugs betreffen.

Dabei kann der erste Sensor insbesondere einen sogenannten vorausschauenden Sensor umfassen, der beispielsweise auf der Basis einer bildhaften Abtastung, einer Radar- oder LiDAR-Abtastung arbeitet.

Eine erste Vorrichtung an Bord eines ersten Kraftfahrzeugs umfasst einen ersten Sensor zur Bereitstellung erster Sensordaten; eine Verarbeitungseinrichtung; und eine Kommunikationseinrichtung zur Übermittlung der ersten Sensordaten und zum Empfangen eines Ergebnisses einer Bestimmung, ob die ersten Sensordaten zu zweiten Sensordaten korrespondieren. Dabei sind die zweiten Sensordaten von einem zweiten Sensor im Bereich des ersten Kraftfahrzeugs abgetastet und der zweite Sensor ist an Bord eines zweiten Kraftfahrzeugs oder an einer Infrastruktur angeordnet. In dieser Variante können die ersten Sensordaten außerhalb des ersten Kraftfahrzeugs mit zweiten Sensordaten verglichen werden. Beispielsweise kann der Vergleich an Bord eines zweiten Kraftfahrzeugs, wo der zweite Sensor angebracht ist, im Bereich einer ortsfesten Abtasteinrichtung einer Infrastruktur oder im Bereich einer zentralen Einrichtung durchgeführt werden. Die zentrale Einrichtung kann insbesondere als Server oder Dienst realisiert sein, beispielsweise auch abstrahiert in einer Cloud.

Eine zweite Vorrichtung an Bord eines ersten Kraftfahrzeugs umfasst einen ersten Sensor zur Bereitstellung erster Sensordaten; eine Verarbeitungseinrichtung; und eine Kommunikationseinrichtung zum Empfangen zweiter Sensordaten; wobei die zweiten Sensordaten von einem zweiten Sensor im Bereich des ersten

Kraftfahrzeugs abgetastet sind, wobei der zweite Sensor an Bord eines zweiten Kraftfahrzeugs oder an einer Infrastruktur angeordnet ist, wobei die

Verarbeitungseinrichtung dazu eingerichtet ist, die ersten Sensordaten als

vertrauenswürdig zu bestimmen, falls die ersten Sensordaten zu den zweiten Sensordaten korrespondieren. In dieser Variante kann der Vergleich zwischen ersten und zweiten Sensordaten seitens des ersten Kraftfahrzeugs erfolgen. Die

empfangenen zweiten Sensordaten können in Antwort auf eine entsprechende Anforderung des ersten Kraftahrzeugs übermittelt werden oder beispielsweise periodisch vom zweiten Kraftfahrzeug, der Infrastruktur oder der zentralen

Einrichtung ausgesandt werden. Die Verarbeitungseinrichtung ist bevorzugt dazu eingerichtet, ein hierin beschriebenes Verfahren ganz oder teilweise durchzuführen. Dazu kann die

Verarbeitungseinrichtung insbesondere einen programmierbaren Mikrocomputer oder Microcontroller umfassen und das Verfahren kann in Form eines

Computerprogrammprodukts mit Programmcodemitteln vorliegen. Vorteile oder Merkmale des Verfahrens können die Vorrichtung bezogen werden und umgekehrt.

Ein System umfasst ein erstes Kraftfahrzeug mit einem ersten Sensor, ein zweites Kraftfahrzeug und eine zentrale Einrichtung. Dabei umfasst die zentrale Einrichtung einen Datenspeicher, der dazu eingerichtet ist, zweite Sensordaten zu speichern, die jeweils von einem zweiten Sensor abgetastet sind, der sich im Bereich des ersten Sensors und entweder an Bord eines anderen als des ersten Kraftfahrzeugs oder an einer Infrastruktur befindet. Die zentrale Einrichtung umfasst ferner eine

Kommunikationseinrichtung zur Kommunikation mit dem ersten und/oder zweiten Kraftfahrzeug.

Die Erfindung wird nun mit Bezug auf die beigefügten Figuren genauer beschrieben, in denen:

Figur 1 ein System mit einem ersten Kraftfahrzeug; und

Figur 2 ein Ablaufdiagramm eines Verfahrens darstellt.

Figur 1 zeigt ein System 100 mit einem ersten Kraftfahrzeug 105 mit einer

Vorrichtung 1 10. Die Vorrichtung 1 10 umfasst eine erste Verarbeitungseinrichtung 1 15, einen ersten Sensor 120 und eine erste Kommunikationseinrichtung 125. In einer ersten Ausführungsform können an Bord eines zweiten Kraftfahrzeugs 135 ein zweiter Sensor 140 sowie optional eine zweite Verarbeitungseinrichtung 145 und eine zweite Kommunikationseinrichtung 150 vorgesehen sein. Der zweite Sensor 140, die zweite Verarbeitungseinrichtung 145 und die Kommunikationseinrichtung 150 können auch an einer Infrastruktur 160 im Bereich des ersten Kraftfahrzeugs 105 angebracht sein. Die Infrastruktur 160 kann insbesondere im Bereich einer durch das erste Kraftfahrzeug 105 befahrenen Straße angebracht sein, etwa in einem Verkehrsleitsystem oder einer insbesondere optischen Überwachungseinrichtung. Zusammenfassend werden das zweite Kraftfahrzeug 110 und die Infrastruktur 160 im Folgenden Einrichtung 162 genannt, wenn sie dem gleichen Zweck, nämlich der Bereitstellung von zweiten Sensordaten dienen.

Eine zentrale Stelle 165 kann beispielsweise als Server oder Dienst realisiert sein, gegebenenfalls abstrahiert in einer Cloud. Die zentrale Stelle 165 umfasst eine dritte Verarbeitungseinrichtung 170, eine dritte Kommunikationseinrichtung 175 sowie einen Datenspeicher 180. Die Kommunikationseinrichtungen 125, 150, und 175 sind bevorzugt jeweils zur drahtlosen Informationsübermittlung miteinander eingerichtet, soweit dies für eine der im Folgenden betrachteten Ausführungsformen erforderlich ist. Die Kommunikation erfolgt bevorzugt wenigstens teilweise drahtlos und kann ein beliebiges Kommunikationsnetz 185 verwenden, das in Figur 1 schematisch als Wolke angedeutet ist.

Der erste Sensor 120 an Bord des ersten Kraftfahrzeugs 105 kann insbesondere ein vorausschauender Sensor sein, der einen vor dem ersten Kraftfahrzeug liegenden Bereich abtastet. Dabei bereitgestellte Sensordaten können beispielsweise einer Steuerung des ersten Kraftfahrzeugs 105 zu Grunde gelegt werden, etwa im

Rahmen einer Bestimmung einer Fahrtrajektorie des ersten Kraftfahrzeugs 105 oder einer automatischen Hindernisvermeidung. Der erste Sensor 120 kann auch zur Bestimmung eines Fahrzustandes des ersten Kraftfahrzeugs 105 eingerichtet sein und beispielsweise eine Position, eine Geschwindigkeit, eine Beschleunigung oder einen Abstand zu einem vorbestimmten Objekt, etwa einer Fahrbahnmarkierung oder einem anderen Kraftfahrzeug, umfassen. In weiteren Ausführungsformen kann der erste Sensor 120 dazu eingerichtet sein, eine Konfiguration des ersten

Kraftfahrzeugs 105 zu bestimmen. Dazu kann der erste Sensor 120 etwa zur

Bestimmung eines Öffnungszustands einer Tür, eines Fensters, eines Glas- oder Stahlschiebedachs oder eines Verdecks des ersten Kraftfahrzeugs 105 eingerichtet sein. Allgemein kann der erste Sensor 120 dazu eingerichtet sein, einen beliebigen Zustand oder ein beliebiges Ereignis im Bereich des ersten Kraftfahrzeugs 105 abzutasten, der auch vom Sensor 140 erfasst werden kann, der sich nicht an Bord des ersten Kraftfahrzeugs 105 befindet.

Es wird vorgeschlagen, Sensordaten des zweiten Sensors 140 mit Sensordaten des ersten Sensors 120 zu vergleichen um zu bestimmen ob die vom ersten Sensor 120 abgetasteten Sensordaten vertrauenswürdig sind oder nicht. Dazu kann bestimmt werden, ob die ersten und zweiten Sensordaten zueinander korrespondieren oder nicht. Die Sensordaten korrespondieren, falls sie auf den gleichen Zustand oder das gleiche Ereignis hinweisen. Eine quantitative Abweichung von Sensordaten oder aus ihnen abgeleiteten Ergebnissen kann unterhalb eines vorbestimmten Schwellenwerts liegen, damit das Korrespondieren bestimmt wird. Korrespondieren die Sensordaten zueinander, so sind die ersten Sensordaten vertrauenswürdig und können einer Steuerung des ersten Kraftfahrzeugs 105 oder eines Systems an Bord des ersten Kraftfahrzeugs 105 zu Grunde gelegt werden. In einer Ausführungsform können auch die zu den ersten Sensordaten korrespondierenden zweiten Sensordaten der Steuerung zu Grunde gelegt werden, beispielsweise wenn die zweiten Sensordaten genauer oder zuverlässiger als die ersten sind.

Es wird weiterhin vorgeschlagen, die zweiten Sensordaten des zweiten Sensors 140 nur dann für die Bestimmung der Vertrauenswürdigkeit der ersten Sensordaten des ersten Sensors 120 zu verwenden, wenn die Quelle der zweiten Sensordaten überprüft werden kann. Dazu können die zweiten Sensordaten eine Identifikation der Einrichtung 162 umfassen und die Identifikation kann durch das erste Kraftfahrzeug 105 überprüfbar sein. In unterschiedlichen Ausführungsformen kann die Identifikation explizit sein, beispielsweise in Gestalt einer Identifikationsnummer, eines Namens, einer Beschreibung oder eines anderen Hinweises. In einer anderen

Ausführungsform kann die Identifikation implizit sein, beispielsweise indem die Einrichtung 162 nachweislich im Besitz einer Information ist, die der verwendeten Identität zugeordnet ist. Eine solche Information kann insbesondere ein privater kryptographischer Schlüssel sein, dessen korrespondierender öffentlicher Schlüssel seitens des ersten Kraftfahrzeugs 105 bekannt ist oder auf sichere Weise bestimmt werden kann. In einem asymmetrischen Verschlüsselungsverfahren kann eine Verschlüsselung mit einem privaten Schlüssel durch eine Entschlüsselung mit einem öffentlichen Schlüssel einer Partei umgekehrt werden - oder umgekehrt. Miteinander kommunizierende Parteien benötigen jeweils ein Paar aus einem öffentlichen und einem privaten Schlüssel, wobei der öffentliche Schlüssel üblicherweise dem

Kommunikationspartner zugänglich gemacht wird.

Ein Vergleich der ersten und zweiten Sensordaten kann in unterschiedlichen

Ausführungsformen an Bord des ersten Kraftfahrzeugs 105, an Bord des zweiten Kraftfahrzeugs 110, seitens der Infrastruktur 160 oder der zentralen Stelle

durchgeführt werden. Findet der Vergleich der vom zweiten Sensor 140 abgetasteten zweiten Sensordaten mit den ersten Sensordaten entfernt vom zweiten Sensor 140 statt, können die zweite Sensordaten initiativ mittels der Kommunikationseinrichtung 150 ausgesandt werden oder erst nach Empfangen einer entsprechenden

Aufforderung. Zweite Sensordaten können in der zentralen Stelle 165 im

Datenspeicher 180 abgelegt werden. Auf der Basis mehrerer zweiter Sensordaten kann ebenfalls eine Plausibilisierung durchgeführt werden. Insbesondere kann bestimmt werden, ob die mehreren zweiten Sensordaten zueinander korrespondieren oder nicht. Eine solche Plausibilisierung kann insbesondere seitens der zentralen Stelle und bezüglich der im Datenspeicher 180 abgelegten zweiten Sensordaten erfolgen. Eine Plausibilisierung zweiter Sensordaten kann auch auf der Basis dritter Sensordaten erfolgen, die aus einer beliebigen anderen Quelle als dem zweiten Sensor 140 stammen können. Diese Plausibilisierung kann beispielsweise auch seitens des zweiten Kraftfahrzeugs 110 durchgeführt werden.

Korrespondieren miteinander verglichene Sensordaten zueinander, so können sie als plausibel oder vertrauenswürdig bestimmt werden. Vertrauenswürdige Sensordaten können einer Information zugeordnet werden, welche die Vertrauenswürdigkeit graduell oder binär anzeigt. Diese Information kann insbesondere mittels

kryptographischer Methoden, etwa Signierung auf der Basis eines kryptographischen Zertifikats in einer asymmetrischen public-private-key-lnfrastruktur, insbesondere gegen Fälschung, Vervielfältigung oder Veränderung gesichert werden.

Figur 2 zeigt ein Ablaufdiagramm eines Verfahrens 200. Das Verfahren 200 kann verwendet werden, um erste Sensordaten, die mittels des ersten Sensors 120 an Bord des ersten Kraftfahrzeugs 105 erfasst wurden, auf Vertrauenswürdigkeit überprüft werden.

In einem Schritt 205 wird der erste Sensor 120 abgetastet, um die ersten

Sensordaten zu erhalten. In einem unabhängig oder nebenläufig dazu

durchgeführten Schritt 210 können vom zweiten Sensor 140 zweite Sensordaten abgetastet werden. Die zweiten Sensordaten 140 betreffen dabei bevorzugt den gleichen Gegenstand oder Bereich wie die ersten Sensordaten. Die zweiten

Sensordaten werden außerhalb des ersten Kraftfahrzeugs 105 erfasst und können insbesondere an Bord des zweiten Kraftfahrzeugs 1 10 oder mittels der Infrastruktur 160 abgetastet werden. In einer Ausführungsform können die zweiten Sensordaten auf der Basis von dritten Sensordaten, die in einem Schritt 215 mittels eines dritten Sensors erfasst werden, auf Vertrauenswürdigkeit überprüft werden.

Vertrauenswürdigkeit liegt allgemein vor, wenn wenigstens zwei miteinander verglichene Sensordaten ausreichend genau miteinander übereinstimmen oder Schlüsse auf den gleichen Sachverhalt erlauben.

In einem Schritt 220 werden die ersten Sensordaten mit den zweiten Sensordaten verglichen. Dazu können die ersten Sensordaten dorthin übermittelt werden, wo sich die zweiten Sensordaten befinden, oder die zweiten Sensordaten werden dorthin übermittelt, wo sich die ersten befinden, oder die ersten und zweiten Sensordaten werden zum Vergleichen beide an einen anderen Ort übermittelt, insbesondere zur zentralen Stelle 165. Die Übermittlung zweiter Sensordaten kann initiativ, periodisch oder auf Aufforderung erfolgen. Zweite Sensordaten können aus unterschiedlichen Quellen gesammelt und miteinander verglichen werden, um sie zu plausibilisieren.

Eine Vertrauenswürdigkeit der ersten Sensordaten kann in einem Schritt 225 bestimmt werden, indem sie mit den zweiten Sensordaten verglichen werden. Beim Vergleichen von Sensordaten wird allgemein solchen, die bereits plausibilisiert wurden, eine höhere Vertrauenswürdigkeit zugemessen als nicht plausibilisierten Sensordaten. Nachdem bestimmt wurde, ob die ersten Sensordaten plausibel bzw. vertrauenswürdig sind, kann ein Bestimmungsergebnis an das erste Kraftfahrzeug 105 übermittelt werden, falls der Vergliche außerhalb des ersten Kraftfahrzeugs 105 erfolgte. Optional können auch zweite Sensordaten, mit denen die ersten Sensordaten verglichen wurden, mitübermittelt werden.

Figur 3 zeigt ein Ablaufdiagramm eines weiteren Verfahrens 300, das insbesondere in Kombination mit dem Verfahren 200 von Figur 2 ausgeführt werden kann. Das Verfahren 300 steht exemplarisch für ein Authentifikationsverfahren, mit dem das erste Kraftfahrzeug 105 eine Identifikation oder eine Identität der Einrichtung 162 überprüfen kann. Das Verfahren 300 wird bevorzugt vor dem Schritt 220 des

Verfahrens 200 durchgeführt. Kann dabei die Identifikation der Einrichtung 162 nicht erfolgreich bestimmt werden, so kann das Verfahren 200 terminieren oder unter Verzicht auf zweite Sensordaten von der Einrichtung 162 Weiterarbeiten.

Zur Veranschaulichung sind Schritte des Verfahrens 300, die bevorzugt seitens des ersten Kraftfahrzeugs 105 durchgeführt werden, in einem linken Bereich und solche, die bevorzugt durch die Einrichtung 162 verrichtet werden, in einem rechten Bereich dargestellt. Schritte der Kommunikation sind in einem mittleren Bereich gezeigt.

In einem ersten Schritt 305 kann das erste Kraftfahrzeug 105 eine Zufallszahl bestimmen und in einem Schritt 310 an die Einrichtung 162 übermitteln. Sollte die Zufallszahl dabei manipuliert werden, fällt später eine Überprüfung der Identifikation negativ aus, sodass schlimmstenfalls korrekte zweite Sensordaten verworfen werden, jedoch keine inkorrekten zweiten Sensordaten übernommen werden können. In einem Schritt 315 kann die Einrichtung 162 die empfangene Zufallszahl mit ihrem privaten kryptographischen Schlüssel verschlüsseln und in einem Schritt 320 an das erste Kraftfahrzeug 105 zurück übermitteln. Seitens des ersten

Kraftfahrzeugs 105 kann die empfangene, verschlüsselte Zufallszahl mittels des öffentlichen Schlüssels der Einrichtung 162 entschlüsselt werden. Enthält der somit enthaltene Klartext die im Schritt 305 bestimmte Zufallszahl, so kann die

Identifikation der Einrichtung 162 erfolgreich überprüft sein.

Das gezeigte Verfahren 300 kann in einer anderen Variante auch die Einrichtung 162 die Authentifikation des ersten Kraftfahrzeugs 105 überprüfen lassen. Öffentliche kryptographische Schlüssel des ersten Kraftfahrzeugs 105 bzw. der Einrichtung 162 können durch eine zentrale Stelle verwaltet werden, beispielsweise die Stelle 165 im System 100 in Figur 1. Zum Abrufen von öffentlichen Schlüsseln kann das Verfahren 300 oder eine Abwandlung davon verwendet werden.

Bezugszeichen System

erstes Kraftfahrzeug

Vorrichtung

erste Verarbeitungseinrichtung

erster Sensor

erste Kommunikationseinrichtung zweites Kraftfahrzeug

zweiter Sensor

zweite Verarbeitungseinrichtung

zweite Kommunikationseinrichtung Infrastruktur

Einrichtung

zentrale Stelle

dritte Verarbeitungseinrichtung

dritte Kommunikationseinrichtung

Datenspeicher

Kommunikationsnetz Verfahren

Abtasten erster Sensor

Abtasten zweiter Sensor

Abtasten dritter Sensor, Verifizieren

Vergleichen

Bestimmen einer Vertrauenswürdigkeit der ersten Sensordaten Verfahren

Bestimmen Zufallszahl

Übermitteln

Verschlüsseln mit privatem Schlüssel der Einrichtung Übermitteln

Entschlüsseln mit öffentlichem Schlüssel der Einrichtung Vergleichen