[go: up one dir, main page]

DE102018202173A1 - Method and device for authenticating a user of a vehicle - Google Patents

Method and device for authenticating a user of a vehicle Download PDF

Info

Publication number
DE102018202173A1
DE102018202173A1 DE102018202173.2A DE102018202173A DE102018202173A1 DE 102018202173 A1 DE102018202173 A1 DE 102018202173A1 DE 102018202173 A DE102018202173 A DE 102018202173A DE 102018202173 A1 DE102018202173 A1 DE 102018202173A1
Authority
DE
Germany
Prior art keywords
vehicle
user
token
mobile device
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018202173.2A
Other languages
German (de)
Inventor
Simon Gerlach
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102018202173.2A priority Critical patent/DE102018202173A1/en
Publication of DE102018202173A1 publication Critical patent/DE102018202173A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R2325/00Indexing scheme relating to vehicle anti-theft devices
    • B60R2325/20Communication devices for vehicle anti-theft devices
    • B60R2325/205Mobile phones

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Ein die digitale Identität des Nutzers nachweisender Nutzer-Token (T1) wird von einem Identitätsprovider (IDP) ausgestellt (S1). Eine Anmeldung des Nutzers für eine Nutzung des Fahrzeugs bei einer Backendeinrichtung (BE) wird mittels des Nutzer-Tokens (T1) durchgeführt und eine Berechtigung des Nutzers für eine Nutzung des Fahrzeugs durch die Backendeinrichtung erteilt (2). Der von dem Identitätsprovider ausgestellte Nutzer-Token (T1) wird auf dem mobilen Gerät (M) gespeichert. Ein Token, der Daten über die digitale Identität des Nutzers (N) enthält und bei dem es sich um den Nutzer-Token (T1) oder ein mittels des Nutzer-Tokens (T1) abgerufenen Zugriffs-Token (T2) handeln kann, wird von dem mobilen Gerät drahtlos an das Fahrzeug gesendet und von diesem empfangen (5). Der empfangene Token wird daraufhin überprüft (6), ob dieser einen Nutzer ausweist, der zur Nutzung des Fahrzeugs berechtigt ist. Bei einer ermittelten Berechtigung des Nutzers erfolgt (7) eine Freigabe der Nutzung des Fahrzeugs.A user token (T1) detecting the user's digital identity is issued by an identity provider (IDP) (S1). A user registration for use of the vehicle with a backend device (BE) is carried out by means of the user token (T1) and authorization of the user for use of the vehicle is given by the backend device (2). The user token (T1) issued by the identity provider is stored on the mobile device (M). A token containing data about the user's digital identity (N), which may be the user token (T1) or an access token (T2) retrieved using the user token (T1), is used by wirelessly sent to the mobile device and received by the mobile device (5). The received token is then checked (6) as to whether it identifies a user who is authorized to use the vehicle. In the case of a determined authorization of the user, (7) a release of the use of the vehicle takes place.

Description

Die vorliegende Erfindung betrifft ein Verfahren zur Authentifizierung eines Nutzers eines Fahrzeugs. Die vorliegende Erfindung betrifft weiterhin eine entsprechende Vorrichtung und ein Fahrzeug, das eine solche Vorrichtung aufweist oder eingerichtet ist, ein solches Verfahren auszuführen.The present invention relates to a method for authenticating a user of a vehicle. The present invention further relates to a corresponding apparatus and a vehicle having such apparatus or is adapted to carry out such a method.

Mechanische Autoschlüssel, die zum Verschließen oder Öffnen eines Fahrzeugs, als Zündschlüssel zum Starten des Motors und für weitere Funktionen wie das Lösen einer Lenkradsperre in ein Schloss eingeführt werden um dieses durch Drehung zu öffnen bzw. betätigen, werden vermehrt durch Funkschlüssel ergänzt bzw. ersetzt, mit denen die Türen per Fernbedienung ver- und entriegelt werden können. Weiterhin ermöglichen sogenannte Keyless-Schließssysteme ein Fahrzeug ohne aktive Benutzung eines Autoschlüssels zu entriegeln, wenn der Schlüssel des Fahrzeugs in unmittelbarer Nähe des Fahrzeugs erkannt wird, und durch das bloße Betätigen eines Startknopfes zu starten, wenn der Schlüssel sich im Fahrzeug befindet. Hierfür weist der Schlüssel einen Chip auf, der beispielsweise mit RFID- oder UWB-Technologie ein Signal vom Fahrzeug empfängt und daraufhin seinerseits ein Signal an das Fahrzeug zurücksendet. Wird hierbei das korrekte Signal im Fahrzeug erkannt, erfolgt eine Authentisierung und das Fahrzeug kann geöffnet und ggfs. gestartet werden.Mechanical car keys that are inserted into a lock to close or open a vehicle, as an ignition key to start the engine and for other functions such as the release of a steering wheel lock in order to open this by turning are increasingly supplemented or replaced by remote key, with which the doors can be locked and unlocked by remote control. Furthermore, so-called keyless locking systems allow a vehicle to be unlocked without actively using a car key when the key of the vehicle is detected in the immediate vicinity of the vehicle and to start by merely pressing a start button when the key is in the vehicle. For this purpose, the key has a chip which, for example, with RFID or UWB technology receives a signal from the vehicle and then in turn sends back a signal to the vehicle. If the correct signal is detected in the vehicle, an authentication takes place and the vehicle can be opened and, if necessary, started.

Weiterhin gibt es erste Ansätze mobile Telefone, sogenannte Smartphones, als digitale Fahrzeugschlüssel zu nutzen. Diese basieren auf der Funktionsweise klassischer Fahrzeug-Funkfernbedienungen, d.h. das Smartphone weist in geeigneter Form sein Wissen um ein fahrzeugspezifisches Geheimnis nach (z.B. Teil des Wegfahrsperren-Geheimnisses), woraufhin das Fahrzeug den Zugang freigibt oder die Fahrberechtigung erteilt.Furthermore, there are first attempts to use mobile phones, so-called smartphones, as a digital car key. These are based on the operation of classic vehicle radio controls, i. the smartphone appropriately retains its knowledge of a vehicle-specific secret (e.g., part of the immobilizer secret), whereupon the vehicle releases the access or grants the driving authorization.

Lösungen auf Basis des Nachweis eines Fahrzeuggeheimnisses weisen jedoch eine Reihe von Nachteilen auf. So sind sie unattraktiv für Hersteller von Smartphones, denn diese müssen dafür eine Möglichkeit schaffen bzw. bieten, derartige Fahrzeuggeheimnisse für eine Vielzahl verschiedener Fahrzeughersteller auf das Smartphone übertragen zu können. Dieses ist technisch aufwändig und fehleranfällig, schwer abzusichern gegen Angriffe und kann hohe Betriebskosten verursachen. Daher werden solche Lösungen derzeit nur von wenigen Smartphone-Herstellern unterstützt.However, solutions based on proof of vehicle secrecy have a number of disadvantages. So they are unattractive for manufacturers of smartphones, because they have to create a way or offer to be able to transfer such vehicle secrets for a variety of vehicle manufacturers on the smartphone. This is technically complex and error-prone, difficult to hedge against attacks and can cause high operating costs. Therefore, such solutions are currently only supported by a few smartphone manufacturers.

Weiterhin ist gesicherter Speicherplatz auf dem Smartphone für die Fahrzeuggeheimnisse limitiert, so dass dadurch auch die Anzahl der digitalen Fahrzeugschlüssel pro Smartphone limitiert ist. Da die digitalen Fahrzeugschlüssel fahrzeugspezifisch sind, ist somit auch die Anzahl der Fahrzeuge limitiert. Diese wird noch problematischer, wenn Konzepte basierend auf solchen digitalen Schlüsseln auch für andere Dinge des täglichen Lebens zum Einsatz kommen sollen, wie etwa zum Öffnen und Schließen von Bürotüren, Haustüren, Spinden in Umkleideräumen, Schließfächern bei einer Bank, Fahradschlössern etc.Furthermore, secured storage space on the smartphone is limited to the vehicle secrets, so that thereby the number of digital car keys per smartphone is limited. Since the digital vehicle keys are vehicle-specific, thus the number of vehicles is limited. This becomes even more problematic when concepts based on such digital keys are also to be used for other things of daily life, such as opening and closing office doors, front doors, locker lockers, lockers at a bench, wheel locks, etc.

Schließlich kann ein weiteres Problem auftreten wenn der Nutzer mehrere mobile Geräte, wie beispielsweise eine Kombination von einem oder mehreren Smartphones, Smartwatches und Tablets, nutzt. Da die digitalen Schlüssel gerätegebunden abgelegt sind, hat der Nutzer diese zunächst nur auf einem der mobilen Geräte verfügbar und muss diese auf weiteren Geräten, beispielsweise bei Erwerb eines neuen Gerätes, vor einer Nutzung erst einrichten. Weiterhin muss darauf geachtet werden die digitalen Schlüssel von einem mobilen Gerät wieder zu entfernen, wenn dieses nicht mehr von dem Nutzer verwendet und entsorgt oder veräußert wird.Finally, another problem can occur when the user uses multiple mobile devices, such as a combination of one or more smartphones, smartwatches, and tablets. Since the digital keys are stored device-bound, the user initially only has them available on one of the mobile devices and has to set them up on other devices, for example when purchasing a new device, before use. Furthermore, care must be taken to remove the digital key from a mobile device when it is no longer used by the user and disposed of or sold.

Weiterhin sind schlüssellose Zugangskontroll- und Startsysteme bekannt, die biometrische Daten zur Authentifizierung im Fahrzeug nutzen. So offenbart die DE 10 2016 104 629 A1 eine zentrale Steuerplattform, die Informationen zu Benutzungsrechten und biometrischen Soll-Daten eines Benutzers für ein Fahrzeug verwaltet und an eine Zugriffs-Steuereinheit im Fahrzeug überträgt. Mit einem mobilen Kommunikationsgerät, beispielsweise einem Smartphone werden biometrische Ist-Daten des Benutzers erfasst und ebenfalls an die Zugriffs-Steuereinheit übertragen. Die biometrischen Ist-Daten werden mit den biometrischen Soll-Daten verglichen und ein Zugriff auf das Fahrzeug in Abhängigkeit von dem Ergebnis des Vergleichs gewährt.Furthermore, keyless access control and start systems are known which use biometric data for authentication in the vehicle. So revealed the DE 10 2016 104 629 A1 a centralized control platform that manages information about user rights and biometric target data of a user for a vehicle and transmits it to an access control unit in the vehicle. With a mobile communication device, such as a smartphone biometric actual data of the user are detected and also transmitted to the access control unit. The actual biometric data is compared with the target biometric data and granted access to the vehicle based on the result of the comparison.

Die GB 2516377 A beschreibt ein Verfahren zum Identifizieren des Benutzers eines Fahrzeugs, bei dem ein Code, der Identifikationsdaten des Fahrzeugs umfasst, wie z. B. ein Strichcode oder einen QR-Code, auf der Anzeige des Fahrzeugs angezeigt wird. Dieser Code kann mit einem mobilen Endgerät eingescannt und decodiert werden, um die Identifikationsdaten zu bestimmen und an einen Server zur Identifizierung des Benutzers weiterzuleiten. Benutzerspezifische Daten werden daraufhin dem Benutzer vom Server zugewiesen und an das Fahrzeug weitergeleitet um basierend hierauf automatisch eine Komponente des Fahrzeugs zu betreiben bzw. einzustellen.The GB 2516377 A describes a method for identifying the user of a vehicle, in which a code that includes identification data of the vehicle, such. As a bar code or a QR code is displayed on the display of the vehicle. This code can be scanned and decoded with a mobile terminal to determine the identification data and forward it to a server for identifying the user. User-specific data is then assigned to the user by the server and forwarded to the vehicle to automatically operate or adjust a component of the vehicle based thereon.

Schließlich offenbart die DE 10 2014 001 038 A1 ein Verfahren zur Übertragung von Daten in ein Fahrzeug, bei dem für eine erfolgreiche Übertragung eine Übereinstimmung einer elektronischen Identität erforderlich ist. Als elektronische Identität wird ein Code gewählt, der unter Verwendung einer Fahrzeugidentifizierungsnummer des jeweiligen Fahrzeugs und einer Identität des jeweiligen Nutzers erzeugt wird und dadurch Fahrzeug sowie Nutzer zugeordnet wird. Die Übertragung kann hierbei zunächst auf ein Mobiltelefon des Nutzers, und von diesem auf das Fahrzeug erfolgen. Die übertragenen Daten sind dann nur unter Verwendung der Fahrzeugidentifizierungsnummer des jeweiligen Fahrzeugs in dem jeweiligen Fahrzeug verwendungsfähig.Finally, the reveals DE 10 2014 001 038 A1 a method of transmitting data to a vehicle that requires electronic identity matching for successful transmission. As electronic identity, a code is chosen that is generated using a vehicle identification number of the respective vehicle and an identity of the respective user and thereby vehicle and user is assigned. In this case, the transmission can first take place on a mobile telephone of the user, and from there onto the vehicle. The transmitted data is then usable only using the vehicle identification number of the respective vehicle in the respective vehicle.

Es ist eine Aufgabe der Erfindung, ein verbessertes Verfahren zur Authentifizierung eines Nutzers eines Fahrzeugs, eine entsprechende Vorrichtung sowie ein entsprechendes Fahrzeug zur Verfügung zu stellen.It is an object of the invention to provide an improved method for authenticating a user of a vehicle, a corresponding device and a corresponding vehicle.

Diese Aufgabe wird durch ein Verfahren mit den Merkmalen des Anspruchs 1, eine Vorrichtung gemäß Anspruch 13 sowie durch ein Fahrzeug gemäß Anspruch 14 gelöst. Bevorzugte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Ansprüche.This object is achieved by a method having the features of claim 1, a device according to claim 13 and by a vehicle according to claim 14. Preferred embodiments of the invention are the subject of the dependent claims.

Bei dem erfindungsgemäßen Verfahren zur Authentifizierung eines Nutzers eines Fahrzeugs, bei dem

  • - ein Token empfangen wird, der Daten über die digitale Identität eines Nutzers enthält und von einem mobilen Gerät des Nutzers an das Fahrzeug gesendet worden ist;
  • - der empfangene Token daraufhin überprüft wird, ob dieser einen Nutzer ausweist, der zur Nutzung des Fahrzeugs berechtigt ist; und
  • - bei einer ermittelten Berechtigung des Nutzers eine Freigabe der Nutzung des Fahrzeugs erfolgt.
In the inventive method for authenticating a user of a vehicle, wherein
  • - Receiving a token containing data about a user's digital identity and sent to the vehicle by a user's mobile device;
  • - the received token is checked to see if it identifies a user who is authorized to use the vehicle; and
  • - When a determined authorization of the user, a release of the use of the vehicle takes place.

Vorzugsweise wird hierbei

  • - ein die digitale Identität des Nutzers nachweisender Nutzer-Token von einem Identitätsprovider ausgestellt;
  • - eine Anmeldung des Nutzers für eine Nutzung des Fahrzeugs bei einer Backendeinrichtung mittels des Nutzer-Tokens durchgeführt und eine Berechtigung des Nutzers für eine Nutzung des Fahrzeugs durch die Backendeinrichtung erteilt; und
  • - der von dem Identitätsprovider ausgestellte Nutzer-Token auf dem mobilen Gerät gespeichert.
Preferably, this is
  • - a user token proving the user's digital identity issued by an identity provider;
  • - An application of the user for a use of the vehicle at a backend device carried out by means of the user token and granted authorization of the user for use of the vehicle by the backend device; and
  • the user token issued by the identity provider is stored on the mobile device.

Gemäß einer Ausführungsform der Erfindung wird

  • - eine Information über die digitale Identität des Nutzers von der Backendeinrichtung an das Fahrzeug gesendet und im Fahrzeug gespeichert;
  • - vor einer Nutzung des Fahrzeugs für eine Überprüfung der Berechtigung des Nutzers der auf dem mobilen Gerät gespeicherte Nutzer-Token an das Fahrzeug gesendet; wobei
  • - das Fahrzeug den gesendeten Nutzer-Token empfängt und überprüft, ob der empfangene Nutzer-Token einen Nutzer ausweist, der eine Berechtigung zur Nutzung des Fahrzeugs hat.
According to one embodiment of the invention
  • - Information about the digital identity of the user sent from the backend device to the vehicle and stored in the vehicle;
  • - sent to the vehicle before using the vehicle for checking the authorization of the user of the user token stored on the mobile device; in which
  • - The vehicle receives the sent user token and checks whether the received user token identifies a user who has authorization to use the vehicle.

Vorteilhafterweise wird hierbei ein öffentlicher Schlüssel des Identitätsproviders von der Backendeinrichtung an das Fahrzeug gesendet und im Fahrzeug gespeichert und zur Überprüfung der Gültigkeit des vom mobilen Gerät an das Fahrzeug übertragenen Nutzer-Tokens verwendet.Advantageously, in this case, a public key of the identity provider is sent from the backend device to the vehicle and stored in the vehicle and used to check the validity of the transferred from the mobile device to the vehicle user token.

Bei einer weiteren Ausführungsform der Erfindung

  • - ist ein Authorisierungs-Server vorgesehen, dem für eine Autorisierung eines Nutzers zur Fahrzeugnutzung die zulässigen Fahrzeugnutzungen für die bei der Backendeinrichtung angemeldeten Nutzer bekannt sind und der aus einem Nutzer-Token ein Zugriffs-Token für eine Fahrzeugnutzung erstellen kann;
  • - wird dem mobilen Gerät vom Fahrzeug mitgeteilt, von welchem Authorisierungs-Server es einen Zugriffs-Token akzeptiert;
  • - ruft das mobile Gerät mittels des Nutzer-Tokens am angegebenen Authorisierungs-Server einen Zugriffs-Token ab;
  • - sendet das mobile Gerät den abgerufenen Zugriffs-Token an das Fahrzeug; und
  • - empfängt das Fahrzeug den abgerufenen Zugriffs-Token und überprüft, ob der empfangene Zugriffs-Token einen Nutzer ausweist, der eine Berechtigung zur Nutzung des Fahrzeugs hat.
In a further embodiment of the invention
  • an authorization server is provided for which the authorized vehicle usages for the users registered with the backend device are known for authorization of a user for vehicle usage and which can create a vehicle usage access token from a user token;
  • the mobile device informs the vehicle from which authorization server it accepts an access token;
  • the mobile device uses the user token to retrieve an access token at the specified authorization server;
  • the mobile device sends the retrieved access token to the vehicle; and
  • the vehicle receives the retrieved access token and checks whether the received access token identifies a user who has authorization to use the vehicle.

Hierbei kann ein öffentlicher Schlüssel des Authorisierungs-Servers im Fahrzeug abgespeichert sein und zur Überprüfung der Gültigkeit des vom mobilen Gerät an das Fahrzeug übertragenen Zugriffs-Tokens verwendet werden.In this case, a public key of the authorization server can be stored in the vehicle and used to check the validity of the access token transmitted from the mobile device to the vehicle.

Ebenso kann eine Addressinformation des Authorisierungs-Server im Fahrzeug abgespeichert sein und an das mobile Gerät übertragen werden.Likewise, an address information of the authorization server can be stored in the vehicle and transmitted to the mobile device.

Weiterhin kann eine Information darüber, welche Nutzdaten im Zugriffs -Token für die gewünschte Nutzung des Fahrzeugs erforderlich sind, an das mobile Gerät übertragen werden.Furthermore, information about which user data is required in the access token for the desired use of the vehicle can be transmitted to the mobile device.

Ferner kann das Fahrzeug den abgerufenen Zugriffs-Token daraufhin überprüfen, ob dieser noch gültig oder bereits abgelaufen ist, wobei nur bei einem noch gültigen Zugriffs-Token eine Freigabe der Nutzung des Fahrzeugs erfolgt. In addition, the vehicle can then check the retrieved access token whether it is still valid or has already expired, with the use of the vehicle only being released if the access token is still valid.

Weiterhin kann das mobile Gerät bei Detektion einer bevorstehenden Fahrzeugnutzung automatisch zur Authentifizierung aufgefordert werden.Furthermore, the mobile device may automatically be prompted for authentication upon detection of imminent vehicle usage.

Auch können mit dem empfangenen Token für den Nutzer im Fahrzeug Online-Funktionen freigeschaltet und/oder Online-Dienste angemeldet werden.Also, online functions can be activated with the received token for the user in the vehicle and / or online services can be registered.

Schließlich kann bei einer bestätigten digitalen Identität des Nutzers eine individualisierte Konfiguration des Fahrzeugs für diesen Nutzer vorgenommen werden und/oder eine individualisierte Nutzerbegrüßung des Nutzers erfolgen.Finally, with a confirmed digital identity of the user, an individualized configuration of the vehicle can be made for this user and / or an individualized user greeting of the user can take place.

Entsprechend umfasst eine erfindungsgemäße Vorrichtung zur Authentifizierung eines Nutzers eines Fahrzeugs eine Kommunikationseinheit zum Empfangen eines Tokens, der Daten über die digitale Identität eines Nutzers enthält und von einem mobilen Gerät des Nutzers an das Fahrzeug gesendet worden ist und eine Steuereinheit, die den empfangenen Token daraufhin überprüft, ob dieser einen Nutzer ausweist, der zur Nutzung des Fahrzeugs berechtigt ist und bei einer ermittelten Berechtigung die Nutzung des Fahrzeugs durch den Nutzer freigibt.Accordingly, a device according to the invention for authenticating a user of a vehicle comprises a communication unit for receiving a token which contains data about the digital identity of a user and has been sent to the vehicle by a mobile device of the user and a control unit which then checks the received token whether it identifies a user who is authorized to use the vehicle and, in the case of a determined authorization, releases the use of the vehicle by the user.

Die Erfindung betrifft auch ein Fahrzeug, in dem das erfindungsgemäße Verfahren oder die erfindungsgemäße Vorrichtung eingesetzt wird.The invention also relates to a vehicle in which the method according to the invention or the device according to the invention is used.

Weitere Merkmale der vorliegenden Erfindung werden aus der nachfolgenden Beschreibung und den Ansprüchen in Verbindung mit den Figuren ersichtlich.

  • 1 zeigt ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens zur Authentifizierung eines Nutzers eines Fahrzeugs, das mittels eines mobilen Geräts des Nutzers durchgeführt wird;
  • 2 zeigt schematisch eine Übersicht für ein Ausführungsbeispiel ohne Internetverbindung des mobilen Geräts und/oder Fahrzeugs zum Zeitpunkt der Authentifizierung;
  • 3 zeigt für das Ausführungsbeispiel aus 2 den restlichen Verfahrensablauf nach Detektion einer bevorstehenden Fahrzeugnutzung;
  • 4 zeigt schematisch eine Übersicht für ein Ausführungsbeispiel ohne Internetverbindung des mobilen Geräts und/oder Fahrzeugs zum Zeitpunkt der Authentifizierung; und
  • 5 zeigt für das Ausführungsbeispiel aus 4 den restlichen Verfahrensablauf nach Detektion einer bevorstehenden Fahrzeugnutzung.
Further features of the present invention will become apparent from the following description and claims taken in conjunction with the figures.
  • 1 shows a flowchart of a method according to the invention for authenticating a user of a vehicle, which is performed by means of a mobile device of the user;
  • 2 schematically shows an overview for an embodiment without Internet connection of the mobile device and / or vehicle at the time of authentication;
  • 3 shows for the embodiment 2 the rest of the procedure after detection of imminent vehicle use;
  • 4 schematically shows an overview for an embodiment without Internet connection of the mobile device and / or vehicle at the time of authentication; and
  • 5 shows for the embodiment 4 the rest of the procedure after detection of imminent vehicle use.

Zum besseren Verständnis der Prinzipien der vorliegenden Erfindung werden nachfolgend Ausführungsformen der Erfindung anhand der Figuren detaillierter erläutert. Es versteht sich, dass sich die Erfindung nicht auf diese Ausführungsformen beschränkt und dass die beschriebenen Merkmale auch kombiniert oder modifiziert werden können, ohne den Schutzbereich der Erfindung, wie er in den Ansprüchen definiert ist, zu verlassen.For a better understanding of the principles of the present invention, embodiments of the invention will be explained in more detail below with reference to the figures. It should be understood that the invention is not limited to these embodiments, and that the features described may also be combined or modified without departing from the scope of the invention as defined in the claims.

1 zeigt ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens zur Authentifizierung eines Nutzers eines Fahrzeugs. 1 shows a flowchart of a method according to the invention for authenticating a user of a vehicle.

In einem ersten Verfahrensschritt S1 registriert der Nutzer für sich eine digitale Identität bei einem Identitätsprovider, d.h. einem Anbieter, der einen Identitätsbestätigungsdienst betreibt und eine Authentisierung eines Nutzers vornimmt, die auch für andere Diensteanbieter genutzt werden kann. Grundlage dafür ist, dass sowohl der Nutzer als auch die anderen Diensteanbieter die von dem Identitätsprovider zur Verfügung gestellte digitale Identität des Nutzers akzeptieren bzw. auf die Authentisierung durch den Identitätsprovider vertrauen können.In a first process step S1 the user registers for himself a digital identity with an identity provider, ie a provider who operates an identity confirmation service and performs an authentication of a user, which can also be used for other service providers. The basis for this is that both the user and the other service providers can accept the digital identity of the user made available by the identity provider or trust in the authentication by the identity provider.

Eine digitale Identität kann hierbei beispielsweise ein eindeutiger Name, eine eindeutige Nummer oder auch andere für eine eindeutige Identifikation geeignete Daten sein, mit der ein Nutzer durch ein Computersystem identifiziert werden kann. Zusätzlich kann die digitale Identität auch weitere Merkmale aufweisen, wie beispielsweise den Vor- und Nachnamen, akademischen Grad oder das Geschlecht, eine E-Mail-Adresse oder Telefonnummer des Nutzers. Hierbei kann ein Nutzer, anders als in der realen Welt, auch mehrere digitale Identitäten haben.A digital identity can be, for example, a unique name, a unique number or other suitable for a unique identification data with which a user can be identified by a computer system. In addition, the digital identity may also have other features, such as the first and last name, academic degree or gender, an e-mail address or telephone number of the user. Here, a user, unlike in the real world, also have multiple digital identities.

In einem zweiten Verfahrensschritt S2 meldet sich der Nutzer mittels der digitalen Identität bei der Nutzung von elektronischen Diensten eines Fahrzeuganbieters/-betreibers an. Dort führt er eine Aktion aus, über die er Berechtigungen zur Nutzung eines Fahrzeugs erlangt, z.B. indem er ein Fahrzeug online bestellt oder mietet, den Besitz eines Fahrzeugs über geeignete Verfahren nachweist oder durch den Eigentümer eines Fahrzeugs zur Nutzung berechtigt wird.In a second process step S2 The user logs on by means of the digital identity when using electronic services of a vehicle supplier / operator. There, he carries out an action by means of which he obtains authorizations to use a vehicle, for example by ordering or renting a vehicle online, proving possession of a vehicle by suitable means or by authorizing the owner of a vehicle to use it.

In einem dritten Verfahrensschritt S3 stellt der Fahrzeuganbieter/-betreiber sicher, dass die für die Authentifizierung eines Nutzers erforderlichen Information dem Fahrzeug bekannt sind. Dieses erfolgt, je nachdem, welche der im Folgenden beschriebenen Ausführungsbeispiele vorliegt, auf unterschiedliche Art und Weise und wird daher im Zusammenhang mit den Beschreibungen der 2 bzw. 4 näher erläutert.In a third process step S3 the vehicle operator / operator ensures that the information required to authenticate a user is known to the vehicle. This is done, depending on which of the following described embodiments, in different ways and is therefore in connection with the descriptions of 2 or. 4 explained in more detail.

In einem vierten Verfahrensschritt S4 verwendet der Nutzer nun auf einem mobilen Gerät, wie beispielsweise einem Smartphone, dieselbe digitale Identität zur Anmeldung an dem Betriebssystem des mobilen Geräts oder einem auf diesem installierten Anwendungsprogramm, einer sogenannten App. Bei erfolgreicher Nutzeranmeldung stellt der Identitätsprovider daraufhin einen signierten Nutzer-Token („User Token“) aus. Der Nutzer-Token weist hierbei neben den Nutzdaten (englisch „payload“ oder auch „Claims“), die mindestens eine eindeutige digitale Identität am Identitätsprovider beinhalten und darüber hinaus weitere Informationen, wie z.B. Ablaufdaten enthalten kann, auch eine Signatur auf, die die Validität des Tokens verifiziert und mittels des privaten Schlüssels des Identitätsproviders erzeugt wurde. Der Nutzer-Token inklusive seiner Signatur wird dann von dem mobilen Gerät empfangen und gespeichert.In a fourth process step S4 the user now uses the same digital identity on a mobile device, such as a smartphone, for logging on to the operating system of the mobile device or an application program installed on it, a so-called app. Upon successful user login, the identity provider then issues a signed user token ("User Token"). The user token has here in addition to the payload ("payload" or "claims"), which contain at least one unique digital identity at the identity provider and beyond further information, such as may contain expiration dates, also a signature that the validity of the token and generated using the private key of the identity provider. The user token including its signature is then received and stored by the mobile device.

In einem fünften Verfahrensschritt S5 wird von dem mobilen Gerät der Nutzer-Token oder ein mittels des Nutzer-Tokens abgerufener Zugriffs-Token („Access Token“) drahtlos an das Fahrzeug gesendet. Auch hierzu erfolgt eine nähere Erläuterung im Zusammenhang mit den Beschreibungen der verschiedenen Ausführungsformen in den folgenden Figuren. Bevorzugt kann dieser Vorgang automatisch ausgelöst werden, sobald detektiert wird, dass eine Fahrzeugnutzung bevorsteht. Das kann beispielsweise geschehen, in dem das Fahrzeug eine Berührung der Türgriffe erkennt, und daraufhin mobile Geräte in der Umgebung über einen drahtlosen Kanal auffordert, sich mittels einer der Identitäten auszuweisen, die eine Berechtigung zur Nutzung dieses Fahrzeugs haben. In a fifth process step S5 is wirelessly sent to the vehicle by the user token mobile device or an access token retrieved using the user token. Again, a more detailed explanation in connection with the descriptions of the various embodiments in the following figures. Preferably, this process can be triggered automatically as soon as it is detected that vehicle use is imminent. This can be done, for example, in which the vehicle detects a touch of the door handles, and then requests mobile devices in the area via a wireless channel to identify themselves using one of the identities that have authorization to use this vehicle.

Ebenso kann die Authentifizierungssequenz aber auch auf andere Art und Weise initiiert werden, beispielsweise indem eine Fahrzeugannäherung eines Nutzers durch geeignete Sensoren wie Kameras oder IR-Sensoren detektiert wird oder ein RFID-Transponder in Fahrzeugnähe erfasst wird.Likewise, however, the authentication sequence can also be initiated in other ways, for example by detecting a vehicle approach of a user by means of suitable sensors such as cameras or IR sensors, or by detecting an RFID transponder near the vehicle.

In einem sechsten Verfahrensschritt S6 prüft das Fahrzeug nun, ob der erhaltene Token zu einem Nutzer gehört, der Berechtigungen zur Nutzung des Fahrzeugs hat, indem es die enthaltene Nutzeridentität mit denjenigen aus seiner Liste der zugelassenen Benutzer vergleicht. Zudem prüft es, ob die Signatur des Tokens valide ist und ggfs. weitere Inhalte des Tokens, beispielsweise ob der Token noch nicht abgelaufen ist.In a sixth process step S6 the vehicle now checks whether the received token belongs to a user who has authorizations to use the vehicle by comparing the contained user identity with those from his list of authorized users. In addition, it checks whether the signature of the token is valid and, if necessary, further contents of the token, for example, whether the token has not yet expired.

Ist diese Prüfung erfolgreich, gibt das Fahrzeug in einem siebten Verfahrensschritt S7 die Nutzung in dem Grad frei, wie sie für diesen Nutzer zulässig ist.If this test is successful, the vehicle gives in a seventh process step S7 the use of the degree free, as it is permitted for this user.

Schließlich kann optional In einem achten Verfahrensschritt S8 das Fahrzeug den Token verwenden, um den Nutzer für die Online-Dienste des Fahrzeuganbieters/-betreibers anzumelden und beispielsweise mittels durch den Token zur Verfügung stehender oder mittels des Tokens abrufbarer Informationen eine Nutzerbegrüßung vorzunehmen.Finally, optional In an eighth step S8 the vehicle use the token to register the user for the on-line services of the vehicle provider / operator and to provide user satisfaction by, for example, information available through the token or retrievable by means of the token.

Das erfindungsgemäße Verfahren weist sowohl für den Nutzer, den Fahrzeuganbieter/- betreiber, als auch die Hersteller von mobilen Geräten wie Smartphones eine Reihe von Vorteilen auf. So muss der Nutzer keine manuelle Schlüsselverwaltung für seine Geräte vornehmen, da durch einmaliges Login sofort alle Schließberechtigungen auf dem jeweiligen Gerät vorhanden sind und alle Geräte mit demselben Login, sofern gewünscht, unmittelbar dieselben Schließberechtigungen haben. Auch muss der Nutzer sich nicht bei herstellerspezifischen Portalen zum Identitätsnachweis anmelden, sondern kann seine Identität von beliebigen durch den Fahrzeughersteller als vertrauenswürdig klassifizierten Anbietern bestätigen lassen, insbesondere auch bei solchen, bei denen er bereits einen Login hat. Für den Fahrzeuganbieter/-betreiber wiederum ist beispielsweise von Vorteil, dass dieser keinen eigenen Identitätsprovider betreiben muss und keine Verteilungs-Infrastruktur für digitale Schlüssel auf die Smartphones benötigt und die Personenidentität zusätzlich auch für personenbezogene Funktionen/Dienste genutzt werden kann. Für die Hersteller von Smartphones ist unter anderem von Vorteil, dass nur ein einziger „Schlüssel“ für das Öffnen und Schließen von beliebig vielen Schlössern von Fahrzeugen und anderen Dingen des täglichen Lebens erforderlich ist, so dass hierfür bereits begrenzter Speicherplatz ausreicht und eine einfache Implementierung bei geringen Betriebskosten möglich ist.The method according to the invention has a number of advantages for the user, the vehicle provider / operator, as well as the manufacturers of mobile devices such as smartphones. Thus, the user does not have to carry out manual key management for his devices, as all locking permissions on the respective device are immediately available through a single login and all devices with the same login, if desired, have the same locking permissions. Also, the user does not have to register with vendor-specific portals for proof of identity, but can have his identity confirmed by any vendors trusted by the vehicle manufacturer, especially those in which he already has a login. For the vehicle provider / operator in turn, for example, has the advantage that it does not have to operate its own identity provider and no distribution infrastructure for digital keys on the smartphones needed and the person identity can also be used for personal functions / services. Among other things, it is advantageous for the manufacturers of smartphones that only a single "key" is required for opening and closing any number of locks of vehicles and other everyday items, so that already limited storage space is sufficient for this and simple implementation low operating costs is possible.

Unter Bezugnahme auf die 2 und 3 wird ein Ausführungsbeispiel des erfindungsgemäßen Verfahren beschrieben, dass eine Authentifizierung des Nutzers ermöglicht ohne das eine Internetverbindung des mobilen Geräts und/oder Fahrzeugs zum Zeitpunkt der Authentifizierung vorliegen muss.With reference to the 2 and 3 an embodiment of the inventive method is described that an authentication of the user allows without an Internet connection of the mobile device and / or vehicle must be present at the time of authentication.

Der Nutzer N hat eine digitale Identität bei einem Identitätsprovider IDP registriert, beispielsweise um so verschiedene Web- und Mobile-Anwendungen auf seinem mobilen Gerät M sicher nutzen zu können ohne sich jeweils mit Benutzername und Passwort anmelden zu müssen. Dieses kann z.B. beim Login bei populären elektronischen Diensten oder auch bei neutralen bzw. unabhängigen Zertifizierungsstellen erfolgen und ist zunächst einmal unabhängig von der Verwendung des mobilen Geräts im Zusammenhang mit der Nutzung eines Fahrzeugs durch den Nutzer.The user N has a digital identity with an identity provider IDP registered, for example, to various web and mobile applications on his mobile device M safe to use without having to log in each with username and password. This can be done, for example, when you log in to popular electronic services or even with neutral or independent certification authorities and is initially independent of the use of the mobile device in connection with the use of a vehicle by the user.

So kann der Nutzer mit Hilfe von speziellen Protokollen wie z.B. OAuth (Open Authorization) einer Anwendung den Zugriff auf seine Daten erlauben, die von einem anderen Dienst bereitgestellt werden, ohne geheime Details seiner Zugangsberechtigung preiszugeben. Der Identitätsprovider IDP kann hierfür signierte Nutzer-Token T1 ausstellen, wobei die Signatur mittels des privater Schlüssels IDPK2 des Identitätsproviders IDP über den Payload des User-Tokens erfolgt. Zur weiteren Erhöhung der Sicherheit können hierbei zusätzlich noch weitere kryptografische Maßnahmen ergriffen werden, wie z.B. die Verwendung eines sogenannten „Salts“, bei der eine zufällig gewählte Zeichenfolge an die Nutzdaten vor der Berechnung der Signatur angehängt wird.For example, users can use special protocols such as OAuth (Open Authorization) to allow an application to access its data, which is provided by another service without disclosing any secret details about its access authorization. The identity provider IDP can sign user tokens for this T1 Issue the signature using the private key IDPK2 of the identity provider IDP via the payload of the user token. To further increase security additional cryptographic measures can be taken in this case, such as the use of a so-called "salt", in which a randomly selected string is appended to the user data before the calculation of the signature.

Wie bereits oben im Zusammenhang mit 1 beschrieben meldet sich der Nutzer N für die Nutzung eines Fahrzeugs mittels der digitalen Identität bei einer Backendeinrichtung BE des Fahrzeuganbieters/-betreibers an und erlangt so die Berechtigungen zur Nutzung des Fahrzeugs FZ.As already mentioned above 1 described the user logs N for the use of a vehicle by means of the digital identity at a backend device BE of the vehicle operator / operator and thus obtains the authorizations to use the vehicle FZ ,

Der Fahrzeuganbieter/-betreiber sendet daraufhin von der Backendeinrichtung BE eine Information über die digitale Identität des Nutzers aus dem signierten Teil des Nutzer - Tokens und den öffentlicher Schlüssel IDPK1 des Identitätsproviders IDP über einen sicheren Kanal an das Fahrzeug, in welchem diese Information gespeichert wird. Zusätzlich zu der Information über die digitale Identität des Nutzers können hierbei ggf. auch weitere Informationen wie der Berechtigungsumfang des Nutzers an der Fahrzeugnutzung, z.B. die Berechtigung zum Öffnen und Abschließen und/oder Fahren des Fahrzeugs, oder zum Nutzen der im Infotainmentsystem des Fahrzeugs installierten digitalen Dienste übermittelt und abgespeichert werden.The vehicle provider / operator then sends from the backend device BE information about the digital identity of the user from the signed part of the user token and the public key IDPK1 of the identity provider IDP via a secure channel to the vehicle in which this information is stored. In addition to the information about the digital identity of the user, this may also provide further information such as the user's entitlement to use the vehicle, eg the authorization to open and close and / or drive the vehicle, or the benefit of the digital installed in the vehicle's infotainment system Services are transmitted and stored.

Nach einer Anmeldung des Nutzers N auf dem mobilen Gerät M erhält dieses von dem Identitätsprovider IDP einen Nutzer-Token T1, speichert diesen inklusive seiner Signatur ab. Die bei einer beabsichtigen Benutzung des Fahrzeugs nachfolgenden Schritte sind in 3 verdeutlicht.After a login of the user N on the mobile device M gets this from the identity provider IDP a user token T1 , stores this including its signature. The subsequent steps in an intended use of the vehicle are in 3 clarified.

Zunächst wird in Schritt S51 die Benutzungsabsicht erkannt, beispielsweise indem die Berührung eines Türgriffs des Fahrzeugs FZ durch den Nutzer N erkannt wird. Daraufhin richtet das Fahrzeug FZ in Schritt S52 eine Authentifizierungsanfrage an das mobile Gerät M des Nutzers um so eine Information über die Identität des Nutzers zu erhalten. Daraufhin überträgt das mobile Gerät, sofern vorhanden, in Schritt S53 den von dem Identitätsprovider IDP ausgestellten Nutzer-Token T1 zurück an das Fahrzeug, vorzugsweise über einen drahtlosen Kommunikationskanal wie über Bluetooth, NFC, RFID oder WLAN. Im Fahrzeug wird dann mittels des erhaltenen Nutzer-Tokens T1 und dem öffentlichen Schlüssel IDPK1 des ausstellenden Identitätsproviders IDP im Rahmen des Schritts S6 die Authentizität des Nutzer Tokens geprüft, ob dieser von einem akzeptierten Identitätsproviderstammt, ob er gültig oder schon abgelaufen ist und ob der Nutzer zur Nutzung des Fahrzeugs berechtigt ist. Sofern dieses der Fall ist, wird, in Schritt S7 dem Nutzer N der Zugang zum Fahrzeug bzw. die Nutzung des Fahrzeugs gewährt.First, in step S51 the intention to use recognized, for example by the touch of a door handle of the vehicle FZ by the user N is recognized. The vehicle then straightens FZ in step S52 an authentication request to the mobile device M the user to obtain information about the identity of the user. The mobile device then transmits, if any, in step S53 that of the identity provider IDP issued user tokens T1 back to the vehicle, preferably via a wireless communication channel such as via Bluetooth, NFC, RFID or WLAN. In the vehicle is then using the obtained user token T1 and the public key IDPK1 of the issuing identity provider IDP in the context of the step S6 the authenticity of the user token is checked whether it comes from an accepted identity provider, whether it is valid or has expired and whether the user is authorized to use the vehicle. If this is the case, in step S7 the user N access to the vehicle or use of the vehicle.

In den 4 und 5 wird ein weiteres Ausführungsbeispiel des erfindungsgemäßen Verfahren gezeigt, bei dem für eine Authentifizierung des Nutzers zum Zeitpunkt der Authentifizierung eine Internetverbindung des mobilen Geräts vorliegen muss. Daraus ergeben sich Abweichungen des Verfahrens im Vergleich zum ersten Ausführungsbeispiel, die im Folgenden beschrieben werden.In the 4 and 5 A further exemplary embodiment of the method according to the invention is shown, in which an internet connection of the mobile device must exist for an authentication of the user at the time of the authentication. This results in deviations of the method compared to the first embodiment, which are described below.

Der Fahrzeuganbieter/-betreiber betreibt in diesem Fall zusätzlich zu der Backendeinheit BE einen Authorisierungs-Server AS, dem die zulässigen Fahrzeugnutzungen aller für eine Fahrzeugnutzung angemeldeten Nutzer bekannt sind und der für diese aus dem Nutzer-Token T1 entsprechende signierte Zugriffs-Token T2 für diese Fahrzeugnutzungen erstellen kann. Eine Addressinformation des Authorisierungs-Servers, wie beispielsweise dessen URL, sowie der öffentliche Schlüssel des Authorisierungs-Servers ASK1 sind den an das System angebundenen Fahrzeugen bekannt und in einem Speicher abgelegt.The vehicle provider / operator operates in this case in addition to the backend unit BE an authorization server AS which is aware of the permitted vehicle uses of all users registered for vehicle use and the authorized vehicle usage of it from the user token T1 corresponding signed access tokens T2 can create for these vehicle usages. An address information of the authorization server, such as its URL, and the public key of the authorization server ASK1 are known to the vehicle connected to the system and stored in a memory.

Beabsichtigt nun der Nutzer N ein Fahrzeug FZ zu nutzen, so wird in Schritt S52 dem mobilen Gerät M des Nutzers vom Fahrzeug mitgeteilt, von welchem Authorisierungs-Server AS es einen Zugriffs-Token T2 akzeptiert und welcher Claim, d.h. welche Angabe in den Nutzdaten des Zugriffs-Tokens beinhaltet sein muss, damit der Zugriffs-Token T2 für die gewünschte Nutzung des Fahrzeugs verwendet werden kann. Hierfür kann beispielsweise die Fahrzeugidentifikationsnummer (VIN) des Fahrzeugs verwendet werden oder auch weitere Informationen über die beabsichtigten Aktionen am Fahrzeug („Kofferraum öffnen“, „Fahren“...). Sofern dem Smartphone nicht bereits ein gültiges derartiges Zugriffs-Token T2 vorliegt, fragt es in Schritt S54 mittels des Nutzer-Tokens am angegebenen Authorisierungs-Server AS für den geforderten Claim ein solches an. Das benötigte Zugriffs-Token T2 wird dann in Schritt S55 von dem Authorisierungs-Server AS an das mobile Gerät M zurückgesendet. Hierbei kann es auch vorgesehen sein, dass nur bei der ersten Abfrage am Authorisierungs-Server AS der Nutzer-Token verwendet werden muss und für spätere Abfragen alte Zugriffs-Tokens oder dediziert dafür vom Authorisierungs-Server AS ausgestellte Aktualisierungs-Token („Refresh Token“) verwendet werden.Intended now the user N a vehicle FZ to use, so will step in S52 the mobile device M informed by the user of the vehicle from which authorization server AS It's an access token T2 accepted and what claim, ie what must be included in the user data of the access token, so the access token T2 can be used for the desired use of the vehicle. For this example, the vehicle identification number (VIN) of the vehicle can be used or other information about the intended actions on the vehicle ("trunk open", "driving" ...). Unless the smartphone already has a valid such access token T2 is present, it asks in step S54 using the user token on the specified authorization server AS for the required claim such a. The required access token T2 will then step in S55 from the authorization server AS to the mobile device M returned. It can also be provided that only at the first query on the authorization server AS the user token must be used and for later queries old access tokens or dedicated server AS issued update tokens ("refresh tokens").

Das Smartphone sendet diesen Zugriffs-Token dann in Schritt S53 zurück an das Fahrzeug, Dieses prüft wiederum in Schritt S6, ob der Claim im Zugriffs-Token zur Fahrzeugnutzung berechtigt und, mittels des ihm bekannten öffentlichen Schlüssels des Authorisierungs-Servers ASK1, ob die Signatur des Zugriffs-Tokens valide ist, sowie ggf. ob das Token noch valide oder schon abgelaufen ist. Bei positivem Ergebnis der Prüfung wird dann in Schritt S7 das Fahrzeug für eine Nutzung in dem Grad freigegeben, wie sie gemäß Claim zulässig ist.The smartphone then sends this access token in step S53 back to the vehicle, this checks again in step S6 whether the claim in the access token authorizes the use of the vehicle and, by means of the public key of the authorization server known to it ASK1 whether the signature of the access token is valid, and if so, whether the token is still valid or has expired. If the result of the test is positive then in step S7 the vehicle is released for use to the extent permitted by claim.

Jede der beiden vorhergehend beschriebenen Ausführungsformen weist jeweils gegenüber der anderen haben Ausführungsform Vorteile auf. So kommt die Ausführungsform gemäß den 2 und 3 ohne aktive Internetverbindung des mobilen Geräts aus, da keine Kommunikation mit einem Authorisierungs-Server des Fahrzeuganbeiters/-betreibers erfolgen muss. Damit besteht auch nicht die Gefahr, dass ein an den Authorisierungs-Server verschickter Nutzer-Token abgegriffen werden kann.Each of the two previously described embodiments has advantages over the other embodiments. So comes the embodiment according to the 2 and 3 without active internet connection of the mobile device, as there is no need to communicate with an authorizing server of the vehicle operator / operator. There is also no danger that a user token sent to the authorization server can be tapped.

Andererseits erfordert die Ausführungsform mit aktiver Internetverbindung gemäß den 4 und 5 kein potentiell angreifbares Versenden von Informationen über die zugelassenen Nutzer und deren Berechtigungen an das Fahrzeug. Weiterhin ist dieses Verfahren sehr flexibel, da durch entsprechende Konfiguration des Authorisierungs-Servers die Berechtigungen von Nutzern für Fahrzeuge einfach und schnell angepasst werden können. Ferner ist die Prüfung der Zugriffs-Tokens und des ausstellenden Authorisierungs-Servers komplett in der Hand des Fahrzeuganbeiters/-betreibers.On the other hand, the active internet connection embodiment according to FIGS 4 and 5 no potentially vulnerable transmission of information about the authorized users and their authorizations to the vehicle. Furthermore, this method is very flexible, since the permissions of users for vehicles can be easily and quickly adjusted by appropriate configuration of the authorization server. Furthermore, the examination of the access token and issuing authorization server is completely in the hands of the vehicle operator / operator.

Weitere Varianten sind denkbar, bei denen mittels eines an das Fahrzeug übertragenen Nutzer-Tokens vom Fahrzeug selbst Zugriffs-Token am Authorisierungs-Server abgeholt werden.Other variants are conceivable in which by means of a user token transmitted to the vehicle, the vehicle itself collects access tokens on the authorization server.

Die Erfindung ist nicht auf die Authentifizierung eines Nutzers eines Fahrzeugs beschränkt, sondern kann auch in anderen Bereichen eingesetzt werden, in denen ein Nachweis einer Nutzungsberechtigung mittels eines mobilen Geräts, insbesondere eines Smartphones, erfolgen kann.The invention is not limited to the authentication of a user of a vehicle, but can also be used in other areas in which a proof of a user authorization by means of a mobile device, in particular a smartphone, can take place.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

S1S1
erster Verfahrensschrittfirst process step
S2S2
zweiter Verfahrensschrittsecond process step
S3S3
dritter Verfahrensschrittthird process step
S4S4
vierter Verfahrensschrittfourth process step
S5S5
fünfter Verfahrensschrittfifth process step
S6S6
sechster Verfahrensschrittsixth process step
S7S7
siebter Verfahrensschrittseventh process step
S8S8
achter Verfahrensschritteighth process step
S51S51
Erkennung Berührung TürgriffDetecting touch door handle
S52S52
Authentifizierungsanfrageauthentication request
S53S53
Sende TokenSend tokens
S54S54
Anfrage Token an Authorisierungs-ServerRequest Token to Authorization Server
S55S55
Empfang Token von Authorisierungs-ServerReceive tokens from authorization server
NN
Nutzeruser
MM
mobiles Gerätmobile device
IDPIDP
Identitätsprovideridentity provider
ASAS
Authorisierungs-ServerRemote File Server
BEBE
BackendeinrichtungBack terminal
FZFZ
Fahrzeugvehicle
IDPK1IDPK1
öffentlicher Schlüssel des Identitätsproviderspublic key of the identity provider
IDPK2IDPK2
privater Schlüssel des Identitätsprovidersprivate key of the identity provider
ASK1ASK1
öffentlicher Schlüssel des Authorisierungs-Serverspublic key of the authorization server
ASK2ASK2
privater Schlüssel des Authorisierungs-Serversprivate key of the authorization server
T1T1
Nutzer-TokenUser Token
T2T2
Zugriffs-TokenAccess token

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102016104629 A1 [0007]DE 102016104629 A1 [0007]
  • GB 2516377 A [0008]GB 2516377 A [0008]
  • DE 102014001038 A1 [0009]DE 102014001038 A1 [0009]

Claims (14)

Verfahren zur Authentifizierung eines Nutzers eines Fahrzeugs, bei dem - ein Token empfangen (5) wird, der Daten über die digitale Identität eines Nutzers (N) enthält und von einem mobilen Gerät (M) des Nutzers an das Fahrzeug gesendet worden ist; - der empfangene Token daraufhin überprüft (6) wird, ob dieser einen Nutzer ausweist, der zur Nutzung des Fahrzeugs (FZ) berechtigt ist; und - bei einer ermittelten Berechtigung des Nutzers eine Freigabe der Nutzung des Fahrzeugs erfolgt (7).Method for authenticating a user of a vehicle, in which - receive (5) a token containing data about the digital identity of a user (N) and sent to the vehicle from a mobile device (M) of the user; - the received token is then checked (6) whether it identifies a user who is authorized to use the vehicle (FZ); and - If the user has a determined authorization, a release of the use of the vehicle takes place (7). Verfahren nach Anspruch 1, bei dem - ein die digitale Identität des Nutzers nachweisender Nutzer-Token (T1) von einem Identitätsprovider (IDP) ausgestellt wird; - eine Anmeldung des Nutzers für eine Nutzung des Fahrzeugs bei einer Backendeinrichtung (BE) mittels des Nutzer-Tokens (T1) durchgeführt und eine Berechtigung des Nutzers für eine Nutzung des Fahrzeugs durch die Backendeinrichtung erteilt (2) wird; und - der von dem Identitätsprovider ausgestellte Nutzer-Token (T1) auf dem mobilen Gerät (M) gespeichert wird.Method according to Claim 1 in which - a user token (T1) detecting the user's digital identity is issued by an identity provider (IDP); - An application of the user for a use of the vehicle at a backend device (BE) carried out by means of the user token (T1) and granted a permission of the user for use of the vehicle by the backend device (2); and - the user token (T1) issued by the identity provider is stored on the mobile device (M). Verfahren nach Anspruch 1 oder 2, bei dem - eine Information über die digitale Identität des Nutzers (N) von der Backendeinrichtung (BE) an das Fahrzeug (FZ) gesendet und im Fahrzeug gespeichert wird; - vor einer Nutzung des Fahrzeugs für eine Überprüfung der Berechtigung des Nutzers der auf dem mobilen Gerät gespeicherte Nutzer-Token (T1) an das Fahrzeug gesendet (SA53) wird; und - das Fahrzeug den gesendeten Nutzer-Token (T1) empfängt und überprüft (S6), ob der empfangene Nutzer-Token (T1) einen Nutzer ausweist, der eine Berechtigung zur Nutzung des Fahrzeugs hat.Method according to Claim 1 or 2 in which - information about the digital identity of the user (N) is sent from the backend device (BE) to the vehicle (FZ) and stored in the vehicle; - before use of the vehicle for a review of the authorization of the user of the stored on the mobile device user token (T1) is sent to the vehicle (SA53); and - the vehicle receives and checks (S6) the transmitted user token (T1) whether the received user token (T1) identifies a user who has authorization to use the vehicle. Verfahren nach Anspruch 3, wobei ein öffentlicher Schlüssel (IDPK1) des Identitätsproviders(IDP) von der Backendeinrichtung (BE) an das Fahrzeug (FZ) gesendet und im Fahrzeug gespeichert wird und zur Überprüfung der Gültigkeit des vom mobilen Gerät (M) an das Fahrzeug übertragenen Nutzer-Tokens (T1) verwendet wird.Method according to Claim 3 in that a public key (IDPK1) of the identity provider (IDP) is sent from the backend device (BE) to the vehicle (FZ) and stored in the vehicle and for checking the validity of the user token transmitted from the mobile device (M) to the vehicle (T1) is used. Verfahren nach Anspruch 1 oder 2, bei dem - ein Authorisierungs-Server (AS) vorgesehen ist, dem für eine Autorisierung eines Nutzers (N) zur Fahrzeugnutzung die zulässigen Fahrzeugnutzungen für die bei der Backendeinrichtung (BE) angemeldeten Nutzer bekannt sind und der aus einem Nutzer-Token (T1) ein Zugriffs-Token (T2) für eine Fahrzeugnutzung erstellen kann; - dem mobilen Gerät (M) vom Fahrzeug (FZ) mitgeteilt wird, von welchem Authorisierungs-Server (AS) es einen Zugriffs-Token (T2) akzeptiert; - das mobile Gerät (M) mittels des Nutzer-Tokens (T1) am angegebenen Authorisierungs-Server (AS) einen Zugriffs-Token (T2) abruft (S54, S55); - das mobile Gerät den abgerufenen Zugriffs-Token (T2) an das Fahrzeug sendet (S53); und - das Fahrzeug den abgerufenen Zugriffs-Token (T2) empfängt und überprüft (S6), ob der empfangene Zugriffs-Token (T2) eine Berechtigung zur Nutzung des Fahrzeugs aufweist.Method according to Claim 1 or 2 in which - an authorization server (AS) is provided, for which the authorized vehicle uses for the users registered with the back-end device (BE) are known for an authorization of a user (N) for vehicle use and which consists of a user token (T1) can create an access token (T2) for vehicle use; the mobile device (M) is informed by the vehicle (FZ) from which authorization server (AS) it accepts an access token (T2); - The mobile device (M) using the user token (T1) on the specified authorization server (AS) retrieves an access token (T2) (S54, S55); - the mobile device sends the retrieved access token (T2) to the vehicle (S53); and - the vehicle receives the retrieved access token (T2) and checks (S6) whether the received access token (T2) has authorization to use the vehicle. Verfahren nach Anspruch 5, wobei ein öffentlicher Schlüssel (ASK1) des Authorisierungs-Servers (AS) im Fahrzeug (FZ) abgespeichert ist und zur Überprüfung der Gültigkeit des vom mobilen Gerät (M) an das Fahrzeug übertragenen Zugriffs-Tokens (T2) verwendet wird.Method according to Claim 5 in which a public key (ASK1) of the authorization server (AS) is stored in the vehicle (FZ) and used to check the validity of the access token (T2) transmitted by the mobile device (M) to the vehicle. Verfahren nach Anspruch 5 oder 6, wobei eine Addressinformation des Authorisierungs-Server (AS) im Fahrzeug (FZ) abgespeichert ist und an das mobile Gerät (M) übertragen wird.Method according to Claim 5 or 6 , wherein an address information of the authorization server (AS) in the vehicle (FZ) is stored and transmitted to the mobile device (M). Verfahren nach Anspruch 5, 6 oder 7, wobei eine Information darüber, welche Nutzdaten im Zugriffs -Token für die gewünschte Nutzung des Fahrzeugs (FZ) erforderlich sind, an das mobile Gerät (M) übertragen wird.Method according to Claim 5 . 6 or 7 in which information about which user data is required in the access token for the desired use of the vehicle (FZ) is transmitted to the mobile device (M). Verfahren nach einem der Ansprüche 5 bis 8, wobei das Fahrzeug (FZ) den abgerufenen Zugriffs-Token (T2) daraufhin überprüft, ob dieser noch gültig oder bereits abgelaufen ist und nur bei einem noch gültigen Zugriffs-Token (T2) eine Freigabe der Nutzung des Fahrzeugs erfolgt (7).Method according to one of Claims 5 to 8th in which the vehicle (FZ) checks the retrieved access token (T2) for whether it is still valid or has already expired and only if the access token (T2) is still valid, a release of the use of the vehicle takes place (7). Verfahren nach einem der vorhergehenden Ansprüche, wobei das mobile Gerät (M) bei Detektion (S51) einer bevorstehenden Fahrzeugnutzung automatisch zur Authentifizierung aufgefordert (S52) wird.Method according to one of the preceding claims, wherein the mobile device (M) automatically requested for authentication (S52) upon detection (S51) of imminent vehicle use. Verfahren nach einem der vorhergehenden Ansprüche, wobei mit dem empfangenen Token für den Nutzer (N) im Fahrzeug (FZ) Online-Funktionen freigeschaltet und/oder Online-Dienste angemeldet werden.Method according to one of the preceding claims, wherein with the received token for the user (N) in the vehicle (FZ) enabled online functions and / or online services registered. Verfahren nach einem der vorhergehenden Ansprüche, wobei bei einer bestätigten digitalen Identität des Nutzers (N) eine individualisierte Konfiguration des Fahrzeugs (FZ) für diesen Nutzer vorgenommen wird und/oder eine individualisierte Nutzerbegrüßung des Nutzers erfolgt.Method according to one of the preceding claims, wherein in the case of a confirmed digital identity of the user (N) an individualized configuration of the vehicle (FZ) is undertaken for this user and / or an individualized user greeting of the user takes place. Vorrichtung zur Authentifizierung eines Nutzers eines Fahrzeugs, mit einer - Kommunikationseinheit zum Empfangen eines Tokens, der Daten über die digitale Identität eines Nutzers (N) enthält und von einem mobilen Gerät (M) des Nutzers an das Fahrzeug gesendet worden ist; und - Steuereinheit, die den empfangenen Token daraufhin überprüft, ob dieser einen Nutzer ausweist, der zur Nutzung des Fahrzeugs (FZ) berechtigt ist und bei einer ermittelten Berechtigung die Nutzung des Fahrzeugs durch den Nutzer freigibt.A device for authenticating a user of a vehicle, comprising - a communication unit for receiving a token containing data about the digital identity of a vehicle User (N) and has been sent from a mobile device (M) of the user to the vehicle; and - control unit, which checks the received token to determine whether it identifies a user who is authorized to use the vehicle (FZ) and, in the case of a determined authorization, releases the use of the vehicle by the user. Fahrzeug, das eingerichtet ist, ein Verfahren gemäß einem der Ansprüche 1 bis 12 auszuführen oder eine Vorrichtung gemäß Anspruch 13 aufweist.Vehicle that is set up, a method according to one of Claims 1 to 12 to execute or a device according to Claim 13 having.
DE102018202173.2A 2018-02-13 2018-02-13 Method and device for authenticating a user of a vehicle Pending DE102018202173A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018202173.2A DE102018202173A1 (en) 2018-02-13 2018-02-13 Method and device for authenticating a user of a vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018202173.2A DE102018202173A1 (en) 2018-02-13 2018-02-13 Method and device for authenticating a user of a vehicle

Publications (1)

Publication Number Publication Date
DE102018202173A1 true DE102018202173A1 (en) 2019-08-14

Family

ID=67399820

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018202173.2A Pending DE102018202173A1 (en) 2018-02-13 2018-02-13 Method and device for authenticating a user of a vehicle

Country Status (1)

Country Link
DE (1) DE102018202173A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020205933A1 (en) 2020-05-12 2021-11-18 Robert Bosch Gesellschaft mit beschränkter Haftung Method for coupling an authentication means with a vehicle
WO2023064820A1 (en) * 2021-10-12 2023-04-20 Atieva, Inc. Activation of mobile device for vehicle
DE102023133524B3 (en) 2023-11-30 2024-12-19 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Real-time method for unlocking a motor vehicle, as well as a real-time method for locking a motor vehicle

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2743868A1 (en) * 2012-12-14 2014-06-18 Seven Principles AG Virtual vehicle key
GB2516377A (en) 2014-07-17 2015-01-21 Daimler Ag Method for identifying a user of a vehicle
DE102014001038A1 (en) 2014-01-25 2015-07-30 Audi Ag Electronic identity for a vehicle
US20160301698A1 (en) * 2013-12-23 2016-10-13 Hill-Rom Services, Inc. In-vehicle authorization for autonomous vehicles
DE102016225690A1 (en) * 2015-12-22 2017-06-22 Gm Global Technology Operations, Llc Accessory device and system for forming a carpool
DE102016104629A1 (en) 2016-03-14 2017-09-14 Huf Hülsbeck & Fürst Gmbh & Co. Kg Procedure for controlling access to vehicles
US20170267214A1 (en) * 2011-04-22 2017-09-21 Angel A. Penilla Vehicles and cloud systems for assigning temporary e-keys to access use of a vehicle
US20170297530A1 (en) * 2016-04-19 2017-10-19 Volkswagen Ag Electronic car key and communication system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170267214A1 (en) * 2011-04-22 2017-09-21 Angel A. Penilla Vehicles and cloud systems for assigning temporary e-keys to access use of a vehicle
EP2743868A1 (en) * 2012-12-14 2014-06-18 Seven Principles AG Virtual vehicle key
US20160301698A1 (en) * 2013-12-23 2016-10-13 Hill-Rom Services, Inc. In-vehicle authorization for autonomous vehicles
DE102014001038A1 (en) 2014-01-25 2015-07-30 Audi Ag Electronic identity for a vehicle
GB2516377A (en) 2014-07-17 2015-01-21 Daimler Ag Method for identifying a user of a vehicle
DE102016225690A1 (en) * 2015-12-22 2017-06-22 Gm Global Technology Operations, Llc Accessory device and system for forming a carpool
DE102016104629A1 (en) 2016-03-14 2017-09-14 Huf Hülsbeck & Fürst Gmbh & Co. Kg Procedure for controlling access to vehicles
US20170297530A1 (en) * 2016-04-19 2017-10-19 Volkswagen Ag Electronic car key and communication system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020205933A1 (en) 2020-05-12 2021-11-18 Robert Bosch Gesellschaft mit beschränkter Haftung Method for coupling an authentication means with a vehicle
WO2023064820A1 (en) * 2021-10-12 2023-04-20 Atieva, Inc. Activation of mobile device for vehicle
DE102023133524B3 (en) 2023-11-30 2024-12-19 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Real-time method for unlocking a motor vehicle, as well as a real-time method for locking a motor vehicle

Similar Documents

Publication Publication Date Title
EP2997550B2 (en) Method for controlling access
DE102006015212B4 (en) Method for protecting a movable good, in particular a vehicle, against unauthorized use
DE102016218986B4 (en) Method for managing access to a vehicle
EP3262859B1 (en) System for using mobile terminals as keys for vehicles
DE102017209961B4 (en) Method and device for authenticating a user on a vehicle
DE102013215303B4 (en) Mobile electronic device and method
DE102014019250B4 (en) Activation of a vehicle function of a motor vehicle
DE102014101495B4 (en) Method of access to a physically secure rack and computer network infrastructure
WO2015104180A1 (en) Method and device for releasing functions of a control device
DE102015103020A1 (en) Controlling access to personal information stored in a vehicle using a cryptographic key
DE102012022786B4 (en) Access system for a vehicle
EP3649625B1 (en) Method for delegating access rights
DE102012013450A1 (en) Method for controlling access authorization or driving authority for motor car, involves receiving access or driving authority data at vehicle from communication apparatus to obtain access authorization or driving authority for vehicle
DE102014219502A1 (en) System and method for limited access to a vehicle
DE102016218071B4 (en) Authentication system for a motor vehicle
DE102018202173A1 (en) Method and device for authenticating a user of a vehicle
DE102013003799A1 (en) Method for controlling an electronically secured device and transponder therefor
DE102020005344B3 (en) Method for deactivating and activating individual authorizations and / or functions of a vehicle key
DE102018204842A1 (en) Method for operating a motor vehicle, authentication device, storage medium, motor vehicle, mobile portable terminal, data server device for operating on the Internet
DE102015211104A1 (en) Method for providing authentication factors
WO2019042594A1 (en) Control of a function of a motor vehicle
DE102015000479A1 (en) Motor vehicle with biometric activation function
DE102016218988A1 (en) communication system
DE102018210274B4 (en) Authorization procedure and authorization system for operating a vehicle
EP4428728B1 (en) Method for generating a provisioning token for a plurality of digital document copies

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication