| JPS5847925 | [Title of the device] The power supply deterrence circuit of a device |
| JPH01250118 | DATA PROCESSING SYSTEM |
| JPH025119 | POWER SUPPLY CONTROL SYSTEM |
KIESSLING HORST (DE)
KUHLS BURKHARD (DE)
KIESSLING HORST (DE)
| DE10148323A1 | 2003-04-10 | |||
| US6526460B1 | 2003-02-25 | |||
| EP1225510A2 | 2002-07-24 | |||
| US6032257A | 2000-02-29 | |||
| DE10141737C1 | 2003-04-03 | |||
| US20020152398A1 | 2002-10-17 | |||
| DE10238093A1 | 2004-03-11 |
| 1. | Verfahren zur Authentisierung von Steuergeräten in einem Bussystem eines Kraftfahrzeugs, dadurch gekennzeichnet, dass ein erstes Steuergerät über das Bussystem eine Authentisierungsanfrage an eine Authentisierungsvorrichtung übermittelt, die Authentisierungsvorrichtung die Authentisierungsanfrage unter Ver¬ wendung eines ersten symmetrischen Schlüssels signiert und die signierte Authentisierungsanfrage oder lediglich die Signatur an das erste Steuerge¬ rät übermittelt, das erste Steuergerät die übermittelte Signatur der Authentisierungsanfra¬ ge mit einer vom ersten Steuergerät unter Anwendung des symmetrischen Schlüssels auf die Authentisierungsanfrage ermittelten Signatur vergleicht, und/oder das erste Steuergerät die übermittelte Signatur der Authentisierungsanfra¬ ge unter Verwendung des ersten symmetrischen Schlüssels entschlüsselt und ein erster HashWert erhalten wird, und das erste Steuergerät einen HashAlgorithmus auf die Authentisierungsanfrage anwendet, wodurch ein zweiter HashWert erhalten wird, und das erste Steuergerät bei positivem Vergleich bzw. Übereinstimmung der Signaturen und/oder der HashWerte betriebsbereit gemacht wird. |
| 2. | Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass ein oder mehrere weitere Steuergeräte des Bussystems das Verfahren zur Authentisierung nach Anspruch 1 durchführen. |
| 3. | Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass Kraftfahr¬ zeug erst dann in Betrieb genommen werden kann, wenn weitgehend sämtli che Steuergeräte des Bussystems das Verfahren zur Authentisierung nach Anspruch 1 mit positivem Vergleichsergebnis durchgeführt haben. |
| 4. | Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Durchführung des Authentisierungsverfahren jeweils vor dem Anlas¬ sen des Fahrzeugs vorgenommen wird, vorzugsweise nach dem Öffnen des Fahrzeugs. |
| 5. | Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass weitgehend sämtliche Steuergeräte denselben symmetrischen Schlüssel bei der Durchführung des Authentisierungsverfahrens nach Anspruch 1 ver wenden. |
| 6. | Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass der symmetrische Schlüssel von Fahrzeug zu Fahrzeug variiert und ein Steuergerät eines ersten Fahrzeugs bei der Durchführung des Verfahrens nach Anspruch 1 auf einen ersten symmetrischen Schlüssel und das gleiche Steuergerät eines zweiten Fahrzeugs bei der Durchführung des Verfahrens nach Anspruch 1 auf einen zweiten symmetrischen Schlüssel zugreift. |
| 7. | Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren nach Anspruch 1 in umgekehrter Richtung abläuft, d. h. dass die Authentisierungsvorrichtung eine Authentisierungsanfrage an das erste Steuergerät übermittelt, das erste Steuergerät die Authentisierungsan¬ frage mit dem ersten symmetrischen Schlüssel signiert und die signierte Au¬ thentisierungsanfrage an die Authentisierungsvorrichtung übermittelt. |
| 8. | Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Authentisierungsvorrichtung eine weitere Authentisierungsprüfung unter Durchführung eines asymmetrischen Verschlüsselungsverfahrens mit einer fahrzeugexternen Vorrichtung vornimmt, insbesondere ein PublicKey Verfahren. |
| 9. | Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Authentisierungsvorrichtung eine Authentisierungsanfrage an die fahrzeugexterne Vorrichtung übermittelt, die fahrzeugexterne Vorrichtung die Authentisierungsanfrage mit einem geheimen Schlüssel eines asymmetri¬ schen SchlüsselPaars, insbesondere ein PublicKeySchlüsselPaar, signiert und die signierte Authentisierungsanfrage oder lediglich die Signatur an die Authentisierungsvorrichtung übermittelt, die Authentisierungsvorrichtung die Authentisierungsanfrage unter Verwendung desselben Algorithmus wie die fahrzeugexterne Vorrichtung eine Signatur der Authentisierungsanfrage ermit¬ telt, die von der fahrzeugexternen Vorrichtung übermittelte Signatur unter Verwendung des zum geheimen Schlüssel komplementären öffentlichen Schlüssels entschlüsselt und die ermittelte mit der übermittelten Signatur ver gleicht. |
| 10. | Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass bei positivem Vergleich die fahrzeugexterne Vorrichtung durch die Authentisierungsvorrich¬ tung Schreib und/oder LeseZugriff auf einen Speicher des ersten Steuerge räts erhält. |
| 11. | Bussystem eines Kraftfahrzeugs mit Steuergeräten, dadurch gekennzeichnet, dass in dem Bussystem eine Authentisierungsvorrichtung vorgesehen ist und in dem Bussystem ein Verfahren nach einem der vorstehenden Verfahrensan sprüche ausgeführt wird. |
| 12. | ComputerProgrammProdukt zur Authentisierung von Steuergeräten in einem Bussystem eines Kraftfahrzeugs, dadurch gekennzeichnet, dass das Compu¬ terProgrammProdukt ein Verfahren nach einem oder mehreren der vorste henden Verfahrensansprüche ablaufen lässt. |
Die Erfindung betrifft insbesondere ein Verfahren zur Authentisierung von Steuerge- raten in einem Bussystem eines Kraftfahrzeugs nach dem Oberbegriff des An¬ spruchs 1.
Zur Verhinderung von Manipulationen an der in den Steuergeräten gespeicherten Ablaufsteuerung bzw. der entsprechenden Software, die von einem oder mehreren in den Steuergeräten vorgesehenen Prozessoren ausgeführt wird, ist es wichtig, die Berechtigung des Zugriffs auf die Steuergeräte zu überwachen. Die Berechtigung kann durch kryptografische Maßnahmen überprüft werden.
Nachteilig ist, dass die Durchführung entsprechender kryptografischer Maßnahmen den oder die Prozessoren des Steuergeräts und weitere Hardware-Komponenten des Steuergeräts belastet bzw. leistungsfähigere und damit teurere Steuergeräte bedingt. Dies schlägt insbesondere bei einem millionenfach eingesetzten Produkt, wie bei dem Steuergerät eines Kraftfahrzeugs, zu Buche.
Aufgabe der vorliegenden Erfindung ist es insbesondere, ein Verfahren anzugeben, das eine Manipulation einer in einem Steuergerät gespeicherten Ablaufsteuerung bei geringen Kosten wirksam verhindert.
Diese Aufgabe wird durch die im Anspruch 1 angegebenen Maßnahmen verfah- rensmäßig und durch den unabhängigen System-Anspruch vorrichtungsmäßig ge¬ löst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche.
Ein wesentlicher Aspekt des erfindungsgemäßen Verfahrens zur Authentisierung von Steuergeräten bzw. zur Prüfung, ob es sich um berechtigte Steuergeräte im Bussystem handelt, besteht in der Durchführung der folgenden Maßnahmen. In ei¬ nem ersten Schritt übermittelt ein erstes Steuergerät einer Vielzahl von Steuergerä¬ ten des Kraftfahrzeugs über das Bussystem eine Authentisierungsanfrage an eine Authentisierungsvorrichtung. Bei der Authentisierungsanfrage handelt es sich bevorzugt um eine von dem Steu¬ ergerät generierte Zufallszahl oder dgl., die lediglich einmalig erzeugt wird. Bei der Authentisierungsvorrichtung handelt es sich bevorzugt um ein zentrales Steuerge- rät, das Zugriff auf einen symmetrischen, kryptografischen Schlüssel hat und ein symmetrisches kryptografisches Verfahren ausführen kann.
Die Ausführung eines symmetrischen kryptografischen Verfahrens beansprucht die Ressourcen, insbesondere den Prozessor, des Steuergeräts bzw. der Authentisie- rungsvorrichtung deutlich weniger als ein asymmetrisches Verfahren, so dass Steu¬ ergeräte bei der Verwendung der Erfindung deutlich kostengünstiger gestaltet wer¬ den können.
Die Authentisierungsvorrichtung signiert die Authentisierungsanfrage unter Verwen- düng eines ersten symmetrischen Schlüssels und übermittelt die signierte Authenti¬ sierungsanfrage oder lediglich die Signatur an das erste Steuergerät. Das Signieren bzw. die Erzeugung der Signatur geschieht, indem ein Hash-Algorithmus auf die Authentisierungsanfrage bzw. Authentisierungsdaten angewandt wird. Der Hash- Algorithmus liefert einen Hash-Wert, der charakteristisch für die konkreten Authenti- sierungsdaten ist. Der Hash-Wert wird mit dem ersten symmetrischen Schlüssel verschlüsselt und der verschlüsselte Hash-Wert an die Authentisierungsanfrage bzw. an die Authentisierungsdaten angefügt und zusammen mit der Authentisie¬ rungsanfrage an das erste Steuergerät übermittelt. Alternativ kann auch lediglich die Signatur bzw. der verschlüsselte Hash-Wert an das erste Steuergerät übermittelt werden, weil dort ja die Authentisierungsanfrage erzeugt worden und damit bereits vorhanden ist.
Das erste Steuergerät vergleicht die übermittelte Signatur mit einer vom ersten Steuergerät unter Anwendung des symmetrischen Schlüssels auf die Authentisie- rungsanfrage ermittelten Signatur. Die Signatur kann vom ersten Steuergerät ermit¬ telt werden, indem derselbe Hash-Algorithmus, der von der Authentisierungsvorrich¬ tung auf die Authentisierungsanfrage zur Ermittlung der Signatur angewandt worden ist, auch von dem ersten Steuergerät auf die Authentisierungsanfrage angewandt wird. Wiederum ergibt sich ein Hash-Wert. Dieser Hash-Wert oder die auf der Basis des Hash-Werts unter Verwendung des symmetrischen Schlüssels gebildete Signa¬ tur wird mit der übermittelten Signatur oder dem aus der übermittelten Signatur wie¬ derum unter Verwendung des symmetrischen Schlüssels erhaltenen Hash-Werts verglichen.
Bei positivem Vergleich bzw. bei einer Übereinstimmung gelten das erste Steuerge¬ rät und die Authentisierungsvorrichtung als wechselseitig authentisiert, d.h. für das Steuergerät gilt die Authentisierungsvorrichtung als echt bzw. berechtigt und umge¬ kehrt. Entsprechend wird das erste Steuergerät bei positivem Vergleich bzw. Über- einstimmung vorzugsweise betriebsbereit gemacht. Alternativ oder ergänzend könn¬ te der Authentisierungsvorrichtung ein Schreib- und/oder Lesezugriff auf einen elekt¬ ronischen Speicher des ersten Steuergeräts eingeräumt werden.
Bei einem bevorzugten Ausführungsbeispiel der Erfindung ist vorgesehen, dass ein oder mehrere weitere Steuergeräte des Bussystems in der beschriebenen Weise eine Authentisierung mit der Authentisierungsvorrichtung durchführen. Durch diese Maßnahmen kann also überprüft werden, ob sich unberechtigte Steuergeräte oder eine unberechtigte Authentisierungsvorrichtung im Bussystem befinden.
Bei einem weiteren Ausführungsbeispiel der Erfindung wird die Authentisierung der Steuergeräte ggü. der Authentisierungsvorrichtung der Reihe nach durchgeführt. Dies verringert die erforderlichen Hardware-Ressourcen.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass das Kraftfahr- zeug erst dann in Betrieb genommen werden kann, wenn weitgehend sämtliche Steuergeräte des Bussystems das Verfahren zur Authentisierung mit positivem Ver¬ gleichsergebnis durchgeführt haben. Hierdurch kann die Betriebssicherheit des Bussystems bzw. die Kompatibilität der Busteilnehmer gewährleistet werden. Eben¬ so erhöht diese Maßnahme den Diebstahlschutz des mit dem Bussystem der Erfin- düng ausgestatteten Kraftfahrzeugs, wenn eine Wegfahrsperre in dem Bussystem bzw. in den Steuergeräten integriert ist.
Bei einem anderen Ausführungsbeispiel der Erfindung ist vorgesehen, dass die Durchführung des Authentisierungsverfahrens jeweils vor dem Anlassen des Fahr- zeugs vorgenommen wird, vorzugsweise nach dem Öffnen des Fahrzeugs. Durch diese Maßnahme wird die Betriebssicherheit, Kompatibilität etc. periodisch über¬ prüft.
Bei einem Ausführungsbeispiel der Erfindung wird vor dem Anlassen des Fahrzeugs das erfindungsgemäße Authentisierungsverfahren weitgehend lediglich für diejeni¬ gen Steuergeräte durchgeführt, die beim Anlassen des Fahrzeugs zur Verfügung stehen müssen, um das Fahrzeug bei kurzer Vorlaufzeit - falls erforderlich - be¬ triebsbereit zu haben. Das erfindungsgemäße Authentisierungsverfahren kann dann für die anderen Steuergeräte nach dem Startvorgang des Fahrzeugs, ohne Behin¬ derung der Inbetriebnahme des Kraftfahrzeugs, durchgeführt werden.
Bei einem weiteren Ausführungsbeispiel der Erfindung ist vorgesehen, dass weitge¬ hend sämtliche Steuergeräte denselben symmetrischen Schlüssel bei der Durchfüh- rung des Authentisierungsverfahrens verwenden. Diese Maßnahme macht die Schlüsselverwaltung einfach und hat zudem den Vorteil, dass die Steuergeräte des betreffenden Fahrzeugs hierdurch einander zugeordnet sind.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass der symmetri- sehe Schlüssel von Fahrzeug zu Fahrzeug variiert und ein Steuergerät eines ersten Fahrzeugs bei der Durchführung des erfindungsgemäßen Authentisierungsverfah¬ rens auf einen ersten symmetrischen Schlüssel und das gleiche Steuergerät eines zweiten Fahrzeugs bei der Durchführung des Verfahrens auf einen zweiten symmet¬ rischen Schlüssel zugreift.
Der symmetrische Schlüssel ist bevorzugt derart in dem Bussystem „untergebracht", dass er lediglich von der Authentisierungsvorrichtung und von den am Verfahren beteiligten Steuergeräten gelesen werden kann, d.h. geheim bleibt und nicht unbe¬ rechtigt verändert werden kann. Bei einer Ausgestaltung der Erfindung ist der sym- metrische Schlüssel jeweils im nicht extern auslesbaren oder veränderbaren Boot- Bereich jeden Steuergeräts und im entsprechenden Bereich der Authentisierungs¬ vorrichtung gespeichert. Dadurch, dass der symmetrische Schlüssel von Fahrzeug zu Fahrzeug variiert, ist das Ausspähen des symmetrischen Schlüssels eines konkreten Fahrzeugs ver¬ gleichsweise unschädlich. Dies wäre beim Ausspähen eines symmetrischen Schlüssels aus einem Fahrzeug, der auf sämtliche Fahrzeuge desselben Typs „passt" selbstverständlich völlig anders.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass das erfindungs¬ gemäße Verfahren in umgekehrter Richtung abläuft, d.h. dass die Authentisierungs- vorrichtung eine Authentisierungsanfrage an das erste Steuergerät übermittelt, das erste Steuergerät die Authentisierungsanfrage mit dem ersten symmetrischen Schlüssel signiert und die signierte Authentisierungsanfrage an die Authentisie- rungsvorrichtung übermittelt.
Hierbei wird der Vergleich vom Steuergerät auf die Authentisierungsvorrichtung ver- lagert. Dies geht mit einer Ressourcen-Entlastung jeden Steuergeräts und einer Ressourcen-Belastung der Authentisierungsvorrichtung einher. Die vielfache Res¬ sourcen-Entlastung ggü. einer einzigen Ressourcen-Belastung führt zur Einsparung von Hardware-Kosten.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass die Authentisie¬ rungsvorrichtung eine weitere Authentisierungsprüfung unter Durchführung eines asymmetrischen Verschlüsselungsverfahrens mit einer fahrzeugexternen Vorrich¬ tung vornimmt, insbesondere ein Public-Key-Verfahren.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass die Authentisie¬ rungsvorrichtung eine Authentisierungsanfrage bzw. Authentisierungsdaten an die fahrzeugexterne Vorrichtung übermittelt. Die fahrzeugexterne Vorrichtung wendet auf die Authentisierungsanfrage bzw. die Authentisierungsdaten einen Hash- Algorithmus an, wodurch ein Hash-Wert erhalten wird. Der Hash-Wert wird mit ei- nem geheimen persönlichen Schlüssel verschlüsselt und der verschlüsselte Hash- Wert wird an die Authentisierungsanfrage bzw. an die Authentisierungsdaten ange¬ fügt, d. h. die Authentisierungsanfrage wird signiert, und die signierte Authentisie¬ rungsanfrage oder lediglich die Signatur, d. h. der mit dem geheimen Schlüssel ver¬ schlüsselte Hash-Wert, wird an die Authentisierungsvorrichtung übermittelt. Die Au- thentisierungsvorrichtung wendet ebenfalls den Hash-Algorithmus auf die Authenti- sierungsanfrage an, das Ergebnis ist ein zweiter Hash-Wert. Ferner entschlüsselt die Authentisierungsvorrichtung den von der fahrzeugexternen Vorrichtung erhalte¬ nen verschlüsselten Hash-Wert mit dem zum persönlichen, geheimen Schlüssel komplementären öffentlichen Schlüssel und vergleicht den ersten mit dem zweiten Hash-Wert. Ist der Vergleich positiv, d.h. stimmen beide Hash-Werte überein, so hat sich die fahrzeugexterne Vorrichtung ggü. der Authentisierungsvorrichtung im Fahr¬ zeug erfolgreich authentisiert. Auf dieser Basis kann der fahrzeugexternen Vorrich- ' tung unter der Kontrolle der Authentisierungsvorrichtung ein Schreib- und/oder Le- se-Zugriff auf einen oder mehrere Speicher einer oder mehrerer Steuergeräte einge¬ räumt werden.
Bei einer bevorzugten Ausführungsform der Erfindung, wird der fahrzeugexternen Vorrichtung ermöglicht, den Speicher eines oder mehrerer Steuergeräte mit einer neuen Ablaufsteuerung bzw. Software und/oder mit einem Freischaltcode zu verse¬ hen. Bei der neuen Ablaufsteuerung kann es sich insbesondere um eine Ab¬ laufsteuerung handeln, die ggü. der früheren Ablaufsteuerung aktualisiert worden ist, die Software-Probleme beseitigt, und/oder zusätzliche Funktionen des Steuerge¬ räts bereitstellt. Bei der neuen Ablaufsteuerung kann es sich um eine Ergänzung zur bereits im Steuergerät gespeicherten Ablaufsteuerung handeln, die insbesondere zusätzliche Funktionen des Steuergeräts bereitstellt.
Bei dem Freischaltcode kann es sich insbesondere um Daten handeln, der eine in dem Steuergerät oder an anderer Stelle im Fahrzeug ablaufbereit gehaltene Ab- laufsteuerung bzw. Software, insbesondere zeitlich befristet, freischaltet. D. h. die bereits im Fahrzeug gespeicherte Ablaufsteuerung bzw. Software kann erst nach der Bereitstellung des Freischaltcodes im Fahrzeug ausgeführt werden.
Die Erfindung ermöglicht ein Bussystem eines Kraftfahrzeugs mit Steuergeräten, bei dem in dem Bussystem eine Authentisierungsvorrichtung vorgesehen ist und in dem Bussystem ein erfindungsgemäßes Verfahren ausgeführt wird. Ferner ermöglicht die Erfindung ein Computer-Programm-Produkt zur Authentisierung von Steuergerä¬ ten in einem Bussystem eines Kraftfahrzeugs, das ein Verfahren nach einem oder mehreren der vorstehenden Verfahrensansprüche ablaufen lässt.