[go: up one dir, main page]

DE102011117006A1 - Sichere Verbindungssysteme und -verfahren für Fahrzeuge - Google Patents

Sichere Verbindungssysteme und -verfahren für Fahrzeuge Download PDF

Info

Publication number
DE102011117006A1
DE102011117006A1 DE102011117006A DE102011117006A DE102011117006A1 DE 102011117006 A1 DE102011117006 A1 DE 102011117006A1 DE 102011117006 A DE102011117006 A DE 102011117006A DE 102011117006 A DE102011117006 A DE 102011117006A DE 102011117006 A1 DE102011117006 A1 DE 102011117006A1
Authority
DE
Germany
Prior art keywords
mode
server
subject
issuer
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102011117006A
Other languages
English (en)
Other versions
DE102011117006B4 (de
Inventor
Ansaf I. Alrabady
Salvatore G. Trupiano
John Patrick S. Gonzaga
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102011117006A1 publication Critical patent/DE102011117006A1/de
Application granted granted Critical
Publication of DE102011117006B4 publication Critical patent/DE102011117006B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Kommunikationssystem eines Fahrzeugs umfasst ein Modusbestimmungsmodul und ein Verbindungssteuerungsmodul. Das Modusbestimmungsmodul stellt auf der Grundlage eines Vergleichs eines Eigennamens (CN) eines Wurzelzertifikats mit einem ersten und einem zweiten vorgegebenen CN, die dem Betrieb im ersten bzw. im zweiten Modus zugeordnet sind, einen Betriebsmodus auf einen ersten Modus oder einen zweiten Modus ein. Das Verbindungssteuerungsmodul sendet wahlweise an einen ersten Server oder einen zweiten Server eine Anforderung, eine sichere drahtlose Verbindung zwischen dem Verbindungssteuerungsmodul und dem einen des ersten und des zweiten Servers herzustellen. Der erste und der zweite Server sind verschieden, und der erste und der zweite vorgegebene CN sind verschieden.

Description

  • VERWEIS AUF VERWANDTE ANMELDUNGEN
  • Diese Anmeldung beansprucht die Priorität der vorläufigen US-Anmeldung Nr. 61/408,189, eingereicht am 29. Oktober 2010. Der Offenbarungsgehalt der obigen Anmeldung ist hier durch Bezugnahme vollständig mit aufgenommen.
  • GEBIET
  • Die vorliegende Offenbarung bezieht sich auf Fahrzeugkommunikationstechnik und insbesondere auf Systeme und Verfahren zum Herstellen einer sicheren drahtlosen Verbindung zwischen einem Fahrzeug und einem Server.
  • HINTERGRUND
  • Die hier gegebene Beschreibung des Hintergrunds hat eine allgemeine Darstellung des Kontexts der Offenbarung zum Ziel. Die Arbeit der gegenwärtig benannten Erfinder, soweit sie in diesem Hintergrundabschnitt beschrieben wird, sowie Aspekte der Beschreibung, die nicht anderweitig als Stand der Technik zur Zeit der Anmeldung in Frage kommen, werden weder explizit noch implizit als Stand der Technik gegenüber der vorliegenden Offenbarung anerkannt.
  • Ein Fahrzeug kann eine Brennkraftmaschine und/oder einen oder mehrere Elektromotoren umfassen, die ein Drehmoment erzeugen. Ein Getriebe überträgt wahlweise ein Drehmoment auf ein oder mehrere Räder des Fahrzeugs. Ein Kraftmaschinensteuermodul (ECM) steuert den Betrieb der Kraftmaschine. Das ECM oder ein anderes Steuermodul wie etwa ein Motorsteuermodul kann einen Elektromotor steuern. Ein Getriebesteuermodul (TCM) steuert das Getriebe. Das Fahrzeug kann außerdem ein oder mehrere weitere Steuermodule wie etwa ein Fahrwerksteuermodul usw. umfassen.
  • Die Steuermodule können über ein Netz, das als Fahrzeugbereichsnetz (CAN) bezeichnet werden kann, miteinander kommunizieren. Die Steuermodule können beispielsweise kommunizieren, um Daten gemeinsam zunutzen. Eines oder mehrere der Steuermodule können auf der Grundlage der gemeinsam genutzten Daten eine Entscheidung treffen und/oder eine Aktion ausführen.
  • Das Fahrzeug kann außerdem ein Kommunikationsmodul umfassen, das mit dem Fahrzeugbereichsnetz verbunden ist. Das Kommunikationsmodul kann außerdem wahlweise eine Verbindung mit einem fernen Server herstellen. Das Kommunikationsmodul kann eines oder mehrere der Steuermodule auf der Grundlage von Daten von dem fernen Server aktualisieren. Das Kommunikationsmodul kann wahlweise einen oder mehrere Fahrzeugparameter an den fernen Server ausgeben.
  • ZUSAMMENFASSUNG
  • Ein Kommunikationssystem eines Fahrzeugs umfasst ein Modusbestimmungsmodul und ein Verbindungssteuerungsmodul. Das Modusbestimmungsmodul stellt auf der Grundlage eines Vergleichs eines Eigennamens (CN) eines Wurzelzertifikats mit einem ersten und einem zweiten vorgegebenen CN, die dem Betrieb in einem ersten bzw. in einem zweiten Modus zugeordnet sind, einen Betriebsmodus auf den ersten Modus oder den zweiten Modus ein. Das Verbindungssteuerungsmodul sendet wahlweise an einen ersten Server oder einen zweiten Server eine Anforderung, eine sichere drahtlose Verbindung zwischen dem Verbindungssteuerungsmodul und dem einen des ersten und des zweiten Servers herzustellen. Der erste und der zweite Server sind verschieden, und der erste und der zweite vorgegebene CN sind verschieden.
  • Ein Kommunikationsverfahren für ein Fahrzeug umfasst: Einstellen eines Betriebsmodus auf einen ersten Modus oder einen zweiten Modus auf der Grundlage eines Vergleichs eines Eigennamens (CN) eines Wurzelzertifikats mit einem ersten und einem zweiten vorgegebenen CN, die dem Betrieb im ersten bzw. im zweiten Modus zugeordnet sind, und wahlweises Senden einer Anforderung an einen ersten oder einen zweiten Server, eine sichere drahtlose Verbindung zwischen dem Verbindungssteuerungsmodul des Fahrzeugs und dem einen des ersten und des zweiten Servers herzustellen. Der erste und der zweite Server sind verschieden, und der erste und der zweite vorgegebene CN sind verschieden.
  • Weitere Bereiche der Anwendbarkeit der vorliegenden Offenbarung werden aus der im Folgenden gegebenen genauen Beschreibung deutlich. Selbstverständlich sind die genaue Beschreibung und die spezifischen Beispiele lediglich zur Veranschaulichung gedacht und nicht dazu gedacht, den Umfang der Offenbarung zu begrenzen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die vorliegende Offenbarung wird vollständiger verstanden anhand der genauen Beschreibung und der begleitenden Zeichnungen. In den Zeichnungen sind:
  • 1 ein funktionaler Blockschaltplan eines beispielhaften Fahrzeugsystems gemäß der vorliegenden Offenbarung;
  • 2 ein funktionaler Blockschaltplan eines beispielhaften Fahrzeugkommunikationssystems gemäß der vorliegenden Offenbarung; und
  • 3 ein Ablaufplan, der ein beispielhaftes Verfahren zum Ausführen eines Abschnitts einer Handshake-Prozedur zwischen einem Fahrzeug und einem Server gemäß der vorliegenden Offenbarung schildert.
  • GENAUE BESCHREIBUNG
  • Die folgende Beschreibung ist dem Wesen nach lediglich beispielhaft, wobei keineswegs beabsichtigt ist, die Offenbarung, ihre Anwendung oder ihre Verwendungen zu beschränken. Der Klarheit halber werden in den Zeichnungen dieselben Bezugszeichen zum Kennzeichnen ähnlicher Elemente verwendet. Der Ausdruck ”wenigstens eines von A, B und C” soll als logisches ”A oder B oder C” unter Verwendung eines nicht-exklusiven logischen ODER interpretiert werden. Wohlgemerkt können Schritte in einem Verfahren in unterschiedlicher Reihenfolge ausgeführt werden, ohne die Prinzipien der vorliegenden Offenbarung zu verändern.
  • Wie hier verwendet kann sich der Begriff ”Modul” auf eine anwendungsspezifische integrierte Schaltung (ASIC), eine elektronische Schaltung, eine kombinatorische Logikschaltung, ein feldprogrammierbares Gate Array (”FPGA”), einen Prozessor (gemeinsam genutzt, eigens zugeordnet oder Gruppe), der Code ausführt, andere geeignete Komponenten, die die beschriebene Funktionalität verschaffen, oder eine Kombination aus einem Teil des Obengenannten oder dem gesamten Obengenannten wie etwa ein Ein-Chip-System beziehen, Teil davon sein oder solches umfassen. Der Begriff ”Modul” kann einen Speicher (gemeinsam genutzt, dediziert oder Gruppe) umfassen, der Code speichert, der durch den Prozessor ausgeführt wird.
  • Der Begriff ”Code”, wie er oben verwendet wird, kann Software, Firmware und/oder Mikrocode umfassen und kann sich auf Programme, Routinen, Funktionen, Klassen und/oder Objekte beziehen. Der Begriff ”gemeinsam genutzt”, wie er oben verwendet wird, bedeutet, dass ein Teil des Codes oder der gesamte Code von mehreren Modulen unter Verwendung eines einzigen (gemeinsam genutzten) Prozessor ausgeführt werden kann. Außerdem kann ein Teil des Codes oder der gesamte Code von mehreren Modulen durch einen einzigen (gemeinsam genutzten) Speicher gespeichert werden. Der Begriff ”Gruppe”, wie er oben verwendet wird, bedeutet, dass ein Teil des Codes oder der gesamte Code von einem einzelnen Modul unter Verwendung einer Gruppe von Prozessoren ausgeführt werden kann. Außerdem kann ein Teil des Codes oder der gesamte Code von einem einzelnen Modul unter Verwendung einer Gruppe von Speichern gespeichert werden.
  • Die hier beschriebenen Vorrichtungen und Verfahren können durch ein oder mehrere Computerprogramme implementiert sein, die durch einen oder mehrere Prozessoren ausgeführt werden. Die Computerprogramme umfassen durch einen Prozessor ausführbare Anweisungen, die auf einem nichtflüchtigen, greifbaren, computerlesbaren Medium gespeichert sind. Die Computerprogramme können auch gespeicherte Daten umfassen. Nicht einschränkende Beispiel des nichtflüchtigen, greifbaren, computerlesbaren Mediums sind nichtflüchtige Speicher, magnetische Speicher und optische Speicher.
  • Ein Fahrzeug umfasst ein Kommunikationsmodul, das drahtlos mit zwei oder mehr Servern wie etwa einem ersten Server und einem zweiten Server kommunizieren kann. Das Kommunikationsmodul versucht wahlweise eine sichere Verbindung zwischen dem Kommunikationsmodul und einem Server herzustellen. Das Kommunikationsmodul sendet eine Anforderung, eine sichere Verbindung herzustellen, an den Server. Der Server sendet ein Server-Zertifikat zurück an das Kommunikationsmodul. Das Kommunikationsmodul kann über eine identifizierte Zertifizierungsstelle (CA) nachweisen, dass das Server-Zertifikat gültig ist.
  • Das Server-Zertifikat umfasst einen Aussteller-Eigennamen (Aussteller-CN) und einen Subjekt-CN. Das Kommunikationsmodul bestimmt auf der Grundlage eines Vergleichs der Server-Zertifikat-Aussteller- und Subjekt-CN mit einem Satz vorgegebener Aussteller- und Subjekt-CN, ob mit dem Prozess des Herstellens einer sicheren Verbindung fortgefahren werden soll. Das Kommunikationsmodul kann den Prozess des Herstellens einer sicheren Verbindung fortsetzen, wenn die Server-Zertifikat-Aussteller- und Subjekt-CN dieselben sind wie die vorgegebenen Aussteller- und Subjekt-CN. Umgekehrt kann das Kommunikationsmodul den Prozess des Herstellens einer sicheren Verbindung abbrechen, wenn sich die Server-Zertifikat-Aussteller- und/oder Subjekt-CN von den vorgegebenen Aussteller- und/oder Subjekt-CN unterscheiden.
  • Das Kommunikationsmodul der vorliegenden Offenbarung wählt den Satz vorgegebener Aussteller- und Subjekt-CN aus mehreren Sätzen vorgegebener Aussteller- und Subjekt-CN aus. Jeder Satz umfasst einen vorgegebenen Aussteller-CN und einen vorgegebenen Subjekt-CN. Das Kommunikationsmodul wählt den Satz aus den mehreren Sätzen auf der Grundlage eines momentanen Betriebsmodus aus. Lediglich als Beispiel wählt das Kommunikationsmodul einen ersten Satz aus, wenn der momentane Modus ein erster Modus ist, und es wählt einen zweiten Satz aus, wenn der momentane Modus ein zweiter Modus ist.
  • In 1 ist ein funktionaler Blockschaltplan eines beispielhaften Fahrzeugsystems 100 gezeigt. Ein Fahrzeug 104 umfasst eine Kraftmaschine 108, ein Kraftmaschinensteuermodul (ECM) 112, ein Getriebe 116 und ein Getriebesteuermodul (TCM) 120. Das Fahrzeug 104 kann einen oder mehrere Elektromotoren und/oder Motor-Generator-Einheiten (nicht gezeigt) umfassen. Obwohl dies nicht gezeigt ist, kann das Fahrzeug 104 ein oder mehrere weitere Steuermodule wie etwa ein Fahrwerksteuermodul, ein Hybridsteuermodul usw. umfassen. Die Steuermodule des Fahrzeugs 104, die das ECM 112 und das TCM 120 umfassen, können über einen Netzbus 124 kommunizieren und Daten gemeinsam nutzen.
  • Software, die die Steuermodule des Fahrzeugs 104 ausführen, kann über eine Eingabe/Ausgabe-(E/A)-Schnittstelle 130 in jedes der Steuermodule geladen werden. Lediglich als Beispiel kann ein Computer (nicht gezeigt) die Software über die E/A-Schnittstelle 130 in das Fahrzeug laden. Die Verbindung zu der E/A-Schnittstelle 130 kann drahtlos oder drahtgebunden sein. Das ECM 112 steuert die Kraftmaschine 108 unter Verwendung über die E/A-Schnittstelle 130 geladener Software, das TCM 120 steuert das Getriebe 116 unter Verwendung über die E/A-Schnittstelle 130 geladener Software, usw. Ein Kommunikationsmodul 134 steuert die Kommunikation zwischen dem Fahrzeug 104 und einem oder mehreren Servern unter Verwendung über die E/A-Schnittstelle 130 geladener Software.
  • Das Kommunikationsmodul 134 kommuniziert über den Netzbus 124 wahlweise mit den Steuermodulen des Fahrzeugs 104. Das Kommunikationsmodul 134 kommuniziert außerdem wahlweise mit einem ersten Server 150 und einem zweiten Server 154. Der erste Server 150 und der zweite Server 154 können als Produktions-Server bzw. Entwicklungs-Server bezeichnet werden. Lediglich als Beispiel kann der erste Server 150 ein OnStar-Server sein. Das Kommunikationsmodul 134 kann außerdem mit einem oder mehreren weiteren Servern (nicht gezeigt) wahlweise kommunizieren.
  • Das Kommunikationsmodul 134 kommuniziert drahtlos mit dem ersten Server 150 und dem zweiten Server 154. Das Kommunikationsmodul 134 sendet und empfängt Daten drahtlos über eine erste Antenne 158. Der erste Server 150 sendet und empfängt Daten drahtlos über eine zweite Antenne 162. Der zweite Server 154 sendet und empfängt Daten drahtlos über eine dritte Antenne 166.
  • Im Speicher des Fahrzeugs 104 ist ein Wurzelzertifikat (siehe 2) gespeichert. Lediglich als Beispiel kann das Wurzelzertifikat im Speicher des Kommunikationsmoduls 134 gespeichert sein. Das Kommunikationsmodul 134 bestimmt auf der Grundlage eines vorgegebenen Abschnitts des Wurzelzertifikats einen momentanen Betriebsmodus. Der momentane Modus kann einen ersten Modus (z. B. einen Produktionsmodus) und einen zweiten Modus (z. B. einen Entwicklungsmodus) umfassen. Lediglich als Beispiel kann der vorgegebene Abschnitt des Wurzelzertifikats ein Eigennamen-(CN)-Eintrag einer vorgegebenen Datenzeichenfolge des Wurzelzertifikats sein. Die vorgegebene Datenzeichenfolge des Wurzelzertifikats kann eine Aussteller-Datenzeichenfolge oder eine Subjekt-Datenzeichenfolge sein.
  • Das Kommunikationsmodul 134 kann bestimmen, dass der momentane Modus der erste Modus ist, wenn der CN-Eintrag der vorgegebenen Datenzeichenfolge derselbe ist wie ein vorgegebener Eintrag für den ersten Modus. Das Kommunikationsmodul 134 kann bestimmen, dass der momentane Modus der zweite Modus ist, wenn der CN-Eintrag der vorgegebenen Datenzeichenfolge derselbe ist wie ein vorgegebener Eintrag für den zweiten Modus. Der vorgegebene Eintrag für den ersten Modus unterscheidet sich von dem vorgegebenen Eintrag für den zweiten Modus.
  • Der CN-Eintrag der vorgegebenen Datenzeichenfolge wird auf den vorgegebenen Eintrag für den zweiten Modus eingestellt, bevor das Fahrzeug 104 der öffentlichen Verwendung verfügbar gemacht wird (z. B. während der Entwicklung und des Testens des Fahrzeugs). Der CN-Eintrag der vorgegebenen Datenzeichenfolge kann später, etwa dann, wenn das Fahrzeug 104 als für die öffentliche Verwendung bereit eingeschätzt wird, auf die vorgegebene Zeichenfolge für den ersten Modus eingestellt werden (z. B. nach der Entwicklung und dem Testen des Fahrzeugs). Ein Fahrzeughersteller kann den CN-Eintrag der vorgegebenen Datenzeichenfolge über die E/A-Schnittstelle 130 einstellen und zurückstellen. Die Kennsätze des ersten und des zweiten Modus müssen nicht bezeichnend sein für eine Reihenfolge, in der der erste und der zweite Modus erfahren worden sind.
  • Das Kommunikationsmodul 134 kann mit dem ersten Server 150 kommunizieren, wenn der momentane Modus der erste Modus ist. Das Kommunikationsmodul 134 kann mit dem zweiten Server 154 kommunizieren, wenn der momentane Modus der zweite Modus ist. Das Kommunikationsmodul 134 kann mit einem weiteren Server (nicht gezeigt) kommunizieren, wenn der momentane Modus ein weiterer Modus ist.
  • In 2 ist ein funktionaler Blockschaltplan einer beispielhaften Implementierung des Kommunikationsmoduls 134 gezeigt. Das Kommunikationsmodul 134 kann einen Speicher 204, ein Verbindungssteuerungsmodul 208, eine drahtlose E/A-Schnittstelle 212 und ein Modusauswahlmodul 216 umfassen.
  • Das Wurzelzertifikat 220 kann im Speicher 204 gespeichert sein. Das Wurzelzertifikat 220 ist ein Typ von digitalem Zertifikat. Das Wurzelzertifikat 220 kann ein Protokoll, dem beim Herstellen einer sicheren Verbindung mit einem Server gefolgt werden soll, einen Standard, dem gefolgt werden soll, eine Version des Protokolls, eine Seriennummer (z. B. des Kommunikationsmoduls 134) und eine Zertifizierungsstelle (CA) umfassen. Das Wurzelzertifikat 220 kann außerdem einen Indikator eines Signaturalgorithmus, der verwendet werden soll, die Aussteller-Datenzeichenfolge, die Subjekt-Datenzeichenfolge, einen Gültig-zwischen-(z. B. Datum und Zeit)-Bereich, Informationen über den öffentlichen Schlüssel des Subjekts, Schlüsselbenutzungsinformationen, Informationen über grundlegende Randbedingungen, Subjekt-Schlüsselidentifizierungsinformationen und/oder weitere geeignete Daten umfassen.
  • Die Aussteller-Datenzeichenfolge und die Subjekt-Datenzeichenfolge umfassen jeweils einen CN-Eintrag. Das Protokoll kann ein Transportschichtsicherheits-(TLS)-Protokoll, ein Sichere-Sockelschicht-(SSL)-Protokoll oder ein anderer geeigneter Typ von kryptographischem Protokoll sein. Der Standard kann X.509 sein, und die Version kann Version 3 sein, oder es können ein anderer Standard und/oder eine andere Version verwendet werden.
  • Das Modusauswahlmodul 216 wählt den momentanen Betriebsmodus des Fahrzeugs 104 auf der Grundlage des CN-Eintrags der vorgegebenen Datenzeichenfolge des Wurzelzertifikats 220 aus. Der momentane Betriebsmodus kann der erste Modus oder der zweite Modus sein. Der momentane Betriebsmodus kann alternativ einem oder mehreren weiteren Modi entsprechen.
  • Das Modusauswahlmodul 216 wählt den ersten Modus als momentanen Modus aus, wenn der CN-Eintrag der vorgegebenen Datenzeichenfolge des Wurzelzertifikats 220 derselbe ist wie der vorgegebene CN 224 für den ersten Modus. Das Modusauswahlmodul 216 wählt den zweiten Modus als momentanen Modus aus, wenn der CN-Eintrag der vorgegebenen Datenzeichenfolge des Wurzelzertifikats 220 derselbe ist wie der vorgegebene CN 228 für den zweiten Modus. In verschiedenen Implementierungen können die vorgegebenen CN für den ersten und für den zweiten Modus 224 bzw. 228 im Speicher 204 oder an anderer geeigneter Stelle gespeichert sein. Die vorgegebene Datenzeichenfolge des Wurzelzertifikats 220 kann die Aussteller-Zeichenfolge oder die Subjekt-Zeichenfolge sein. Das Modusauswahlmodul 216 erzeugt ein Modussignal 232, das den momentanen Betriebsmodus angibt.
  • Das Verbindungssteuerungsmodul 208 kommuniziert mit dem ersten Server 150 und dem zweiten Server 154 über die drahtlose E/A-Schnittstelle 212 und die erste Antenne 158. Das Verbindungssteuerungsmodul 208 sendet wahlweise eine Anforderung 236, eine sichere Verbindung mit dem ersten Server 150 oder dem zweiten Server 154 herzustellen. Der Prozess des Herstellens einer sicheren Verbindung zwischen dem Verbindungssteuerungsmodul 208 und einem Server kann als Handshake-Prozedur bezeichnet werden. Das Verbindungssteuerungsmodul 208 kann beispielsweise auf der Grundlage des Zustands eines Flag oder einer Internetprotokoll-(IP)-Adresse bestimmen, an welche von den beiden Servern 150 und 154 die Anforderung 236 gesendet werden soll.
  • Der eine der Server 150 und 154 sendet ein Server-Zertifikat 240 zu dem Verbindungssteuerungsmodul 208 zurück. Das Server-Zertifikat 240 ist ebenfalls ein Typ von digitalem Zertifikat. Das Server-Zertifikat 240 umfasst die Version, eine Seriennummer (z. B. des einen der Server 150 und 154) und die Zertifizierungsstelle (CA). Das Server-Zertifikat 240 kann ebenso einen Indikator eines Signaturalgorithmus, der verwendet werden soll, eine Aussteller-Datenzeichenfolge, eine Subjekt-Datenzeichenfolge, einen Gültig-zwischen-(z. B. Datum und Zeit)-Bereich, Informationen über den öffentlichen Schlüssel des Subjekts, Schlüsselbenutzungsinformationen, Informationen über grundlegende Randbedingungen, Subjekt-Schlüsselidentifizierungsinformationen und/oder weitere geeignete Daten umfassen. Die Aussteller-Datenzeichenfolge und die Subjekt-Datenzeichenfolge des Server-Zertifikats 240 umfassen jeweils einen CN-Eintrag.
  • Das Verbindungssteuerungsmodul 208 kann eine Nachweisanforderung 244 erzeugen und die die Nachweisanforderung 244 an die CA (nicht gezeigt) senden. Das Verbindungssteuerungsmodul kann den Empfang einer Nachweisanforderungsantwort 248 von der CA abwarten, bevor es mit der Handshake-Prozedur fortfährt. Die Nachweisanforderungsantwort 248 kann angeben, ob das Server-Zertifikat 240 gültig ist.
  • Das Verbindungssteuerungsmodul 208 wählt eine Server-Zertifikat-Zeichenfolge für den ersten Modus 252 oder eine Server-Zertifikat-Zeichenfolge für den zweiten Modus 256 aus. Die Server-Zertifikat-Zeichenfolgen für ersten und für den zweiten Modus 252 bzw. 256 umfassen jeweils beide einen vorgegebenen Aussteller-CN und einen vorgegebenen Subjekt-CN. Genauer umfasst die Server-Zertifikat-Zeichenfolge für den ersten Modus 252 einen vorgegebenen Aussteller-CN für den ersten Modus und einen vorgegebenen Subjekt-CN für den ersten Modus. Die Server-Zertifikat-Zeichenfolge für den zweiten Modus 256 umfasst einen vorgegebenen Aussteller-CN für den zweiten Modus und einen vorgegebenen Subjekt-CN für den zweiten Modus.
  • Das Verbindungssteuerungsmodul 208 wählt auf der Grundlage des Modussignals 232 die Server-Zertifikat-Zeichenfolge für den ersten Modus 252 oder die Server-Zertifikat-Zeichenfolge für den zweiten Modus 256 aus. Das Verbindungssteuerungsmodul 208 wählt die Server-Zertifikat-Zeichenfolge für den ersten Modus 252 aus, wenn das Modussignal 232 angibt, dass der erste Modus der momentane Betriebsmodus ist. Das Verbindungssteuerungsmodul 208 wählt die Server-Zertifikat-Zeichenfolge für den zweiten Modus 256 aus, wenn das Modussignal 232 angibt, dass der zweite Modus der momentane Betriebsmodus ist. Das Verbindungssteuerungsmodul 208 kann eine weitere modusspezifische Server-Zertifikat-Zeichenfolge (nicht gezeigt) auswählen, wenn das Modussignal 232 angibt, dass ein zugeordneter Modus der momentane Betriebsmodus ist.
  • Die Server-Zertifikat-Zeichenfolgen für den ersten und den zweiten Modus 252 bzw. 256 sind im Speicher 204 gespeichert. Die Server-Zertifikat-Zeichenfolgen für den ersten und den zweiten Modus 252 bzw. 256 können in verschiedenen Implementierungen nicht modifizierbar sein. In verschiedenen Implementierungen können die Server-Zertifikat-Zeichenfolgen für den ersten und den zweiten Modus 252 bzw. 256 kalibrierbar sein und über die E/A-Schnittstelle 130 modifiziert werden. Im Speicher 204 können auch eine oder mehrere weitere modusspezifische Server-Zertifikat-Zeichenfolgen gespeichert sein, die nicht modifizierbar oder kalibrierbar sein können.
  • Das Verbindungssteuerungsmodul 208 bestimmt auf der Grundlage der Aussteller- und Subjekt-CN des Server-Zertifikats 240, ob mit der Handshake-Prozedur fortgefahren werden soll. Das Verbindungssteuerungsmodul 208 bestimmt ferner auf der Grundlage der vorgegebenen Aussteller- und Subjekt-CN der ausgewählten der Server-Zertifikat-Zeichenfolgen für den ersten Modus und den zweiten Modus 252 bzw. 256, ob mit der Handshake-Prozedur fortgefahren werden soll. Das Verbindungssteuerungsmodul 208 fährt mit der Handshake-Prozedur fort, wenn die Aussteller- und Subjekt-CN des Server-Zertifikats 240 dieselben sind wie die vorgegebenen Aussteller- und Subjekt-CN der ausgewählten der Server-Zertifikat-Zeichenfolgen für den ersten Modus und den zweiten Modus 252 bzw. 256. Das Verbindungssteuerungsmodul 208 beendet die Handshake-Prozedur, wenn sich wenigstens einer der Aussteller- und Subjekt-CN des Server-Zertifikats 240 von wenigstens einem der vorgegebenen Aussteller- und Subjekt-CN der ausgewählten der Server-Zertifikat-Zeichenfolgen für den ersten Modus und den zweiten Modus 252 bzw. 256 unterscheidet. Das Verbindungssteuerungsmodul 208 kann dann, wenn ein Unterschied besteht, eine oder mehrere weitere Aktionen wie etwa das Anzeigen einer vorgegebenen Nachricht an einer Anzeigevorrichtung (nicht gezeigt) des Fahrzeugs 104 ausführen.
  • In 3 ist ein Ablaufplan gezeigt, der ein beispielhaftes Verfahren 300 zum Ausführen eines Abschnitts der Handshake-Prozedur zwischen dem Kommunikationsmodul 134 und dem ersten Server 150 oder dem zweiten Server 154 schildert. Die Steuerung beginnt bei 304, wo sie unter Verwendung des CN-Eintrags der vorgegebene Datenzeichenfolge des Wurzelzertifikats 220 den momentanen Betriebsmodus bestimmt. Die Steuerung bestimmt, dass der momentane Modus der erste Modus ist, wenn der CN-Eintrag der vorgegebenen Datenzeichenfolge des Wurzelzertifikats 220 der vorgegebene CN für den ersten Modus 224 ist. Die Steuerung bestimmt, dass der momentane Modus der zweite Modus ist, wenn der CN-Eintrag der vorgegebenen Datenzeichenfolge des Wurzelzertifikats 220 der vorgegebene CN für den zweiten Modus 228 ist. Die vorgegebene Datenzeichenfolge kann die Aussteller-Datenzeichenfolge oder die Subjekt-Datenzeichenfolge des Wurzelzertifikats 220 sein.
  • Die Steuerung sendet bei 308 die Anforderung 236, eine sichere Verbindung mit dem ersten Server 150 oder dem zweiten Server 154 herzustellen. Bei 316 bestimmt die Steuerung, ob das Server-Zertifikat 240 empfangen worden ist. Wenn falsch, kann die Steuerung mit 324 fortfahren; wenn wahr, fährt die Steuerung mit 328 fort. Die Steuerung bestimmt bei 324, ob eine Zeitüberschreitung eingetreten ist. Wenn wahr, kann die Steuerung mit 352 fortfahren, was weiter unten besprochen wird. Wenn falsch, kann die Steuerung mit 316 fortfahren. Eine Zeitüberschreitung kann beispielsweise dann eintreten, wenn nach dem Senden der Anforderung 236 durch die Steuerung eine vorgegebene Zeitspanne verstrichen ist.
  • Die Steuerung kann bei 328 die Nachweisanforderung 244 an die CA senden und mit 332 fortfahren. Bei 332 bestimmt die Steuerung, ob die CA nachgewiesen hat, dass das Server-Zertifikat 240 gültig ist. Wenn falsch, kann die Steuerung mit 336 fortfahren; wenn wahr, kann die Steuerung mit 340 fortfahren. Bei 336 kann die Steuerung bestimmen, ob eine Zeitüberschreitung eingetreten ist. Wenn wahr, kann die Steuerung mit 352 fortfahren, was weiter unten besprochen wird. Wenn falsch, kann die Steuerung mit 332 fortfahren.
  • Bei 340 wählt die Steuerung die Server-Zertifikat-Zeichenfolge für den ersten Modus 252 oder die Server-Zertifikat-Zeichenfolge für den zweiten Modus 256 aus. Die Steuerung bestimmt bei 344, ob der Aussteller-CN und der Subjekt-CN des Server-Zertifikats 240 dieselben sind wie der Aussteller-CN und der Subjekt-CN der ausgewählten der Server-Zertifikat-Zeichenfolgen für den ersten und den zweiten Modus 252 bzw. 256. Wenn wahr, fährt die Steuerung bei 348 mit der Handshake-Prozedur fort; wenn falsch, fährt die Steuerung mit 352 fort. Bei 352 bricht die Steuerung die Handshake-Prozedur ab.
  • Die weit reichenden Lehren der Offenbarung können in verschiedenen Formen implementiert sein. Daher soll, obwohl diese Offenbarung spezielle Beispiele enthält, der wahre Umfang der Offenbarung nicht darauf begrenzt sein, da dem erfahrenen Praktiker nach einem Studium der Zeichnungen, der Patentbeschreibung und der folgenden Ansprüche weitere Abänderungen offenbar werden.

Claims (10)

  1. Kommunikationsverfahren für ein Fahrzeug, umfassend: Einstellen eines Betriebsmodus auf einen ersten Modus oder einen zweiten Modus auf der Grundlage eines Vergleichs eines Eigennamens (CN) eines Wurzelzertifikats mit einem ersten und einem zweiten vorgegebenen CN, die dem Betrieb im ersten bzw. im zweiten Modus zugeordnet sind; und wahlweises Senden einer Anforderung an einen ersten oder einen zweiten Server, eine sichere drahtlose Verbindung zwischen dem Verbindungssteuerungsmodul des Fahrzeugs und dem einen des ersten und des zweiten Servers herzustellen, wobei der erste und der zweite Server verschieden sind und wobei der erste und der zweite vorgegebene CN verschieden sind.
  2. Kommunikationsverfahren nach Anspruch 1, das ferner umfasst: Auswählen eines ersten Satzes oder eines zweiten Satzes vorgegebener Subjekt- und Aussteller-CN auf der Grundlage des Betriebsmodus; drahtloses Empfangen eines Server-Zertifikats von dem einen des ersten und des zweiten Servers; und Vergleichen eines Subjekt-CN und eines Aussteller-CN des Server-Zertifikats mit dem einen des ersten und des zweiten Satzes vorgegebener Subjekt- und Aussteller-CN, wobei der erste und der zweite Satz von Aussteller-CN verschieden sind.
  3. Kommunikationsverfahren nach Anspruch 2, wobei der erste und der zweite Satz vorgegebener Subjekt- und Aussteller-CN in einem nicht modifizierbaren Speicherabschnitt des Fahrzeugs gespeichert sind.
  4. Kommunikationsverfahren nach Anspruch 2, wobei der erste und der zweite Satz vorgegebener Subjekt- und Aussteller-CN in einem Speicherabschnitt des Fahrzeugs gespeichert sind, der über eine drahtgebundene Verbindung mit einer Eingabe/Ausgabe-(E/A)-Schnittstelle des Fahrzeugs modifizierbar ist.
  5. Kommunikationsverfahren nach Anspruch 2, das ferner das Abbrechen der Herstellung der sicheren drahtlosen Verbindung zwischen dem Verbindungssteuerungsmodul und dem einen des ersten und des zweiten Servers umfasst, wenn sich der Subjekt-CN des Server-Zertifikats von dem Subjekt-CN des einen des ersten und des zweiten Satzes vorgegebener Subjekt- und Aussteller-CN unterscheidet.
  6. Kommunikationsverfahren nach Anspruch 2, das ferner das Abbrechen der Herstellung der sicheren drahtlosen Verbindung zwischen dem Verbindungssteuerungsmodul und dem einen des ersten und des zweiten Servers umfasst, wenn sich der Aussteller-CN des Server-Zertifikats von dem Aussteller-CN des einen des ersten und des zweiten Satzes vorgegebener Subjekt- und Aussteller-CN unterscheidet.
  7. Kommunikationsverfahren nach Anspruch 2, das ferner das Fortfahren mit der Herstellung der sicheren drahtlosen Verbindung zwischen dem Verbindungssteuerungsmodul und dem einen des ersten und des zweiten Servers umfasst, wenn die Subjekt- und Aussteller-CN des Server-Zertifikats dieselben sind wie die Subjekt- und Aussteller-CN des einen des ersten und des zweiten Satzes vorgegebener Subjekt- und Aussteller-CN sind.
  8. Kommunikationsverfahren nach Anspruch 1, das ferner das Senden der Anforderung, die sichere drahtlose Verbindung unter Verwendung eines Transportschichtsicherheits-(TLS)-Protokolls herzustellen, umfasst.
  9. Kommunikationsverfahren nach Anspruch 8, das ferner das Senden der Anforderung, die sichere drahtlose Verbindung unter Verwendung der Version 3 des TLS-Protokolls und eines X.509-Standards herzustellen, umfasst.
  10. Kommunikationsverfahren nach Anspruch 1, das ferner das Senden der Anforderung, die sichere drahtlose Verbindung unter Verwendung eines Sichere-Sockelschicht-(SSL)-Protokolls herzustellen, umfasst.
DE102011117006.9A 2010-10-29 2011-10-25 Sicheres Kommunikationsverfahren für ein Fahrzeug Active DE102011117006B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US40818910P 2010-10-29 2010-10-29
US61/408,189 2010-10-29
US12/953,918 US8776205B2 (en) 2010-10-29 2010-11-24 Secure connection systems and methods for vehicles
US12/953,918 2010-11-24

Publications (2)

Publication Number Publication Date
DE102011117006A1 true DE102011117006A1 (de) 2012-05-03
DE102011117006B4 DE102011117006B4 (de) 2015-12-31

Family

ID=45935949

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011117006.9A Active DE102011117006B4 (de) 2010-10-29 2011-10-25 Sicheres Kommunikationsverfahren für ein Fahrzeug

Country Status (3)

Country Link
US (1) US8776205B2 (de)
CN (1) CN102469107B (de)
DE (1) DE102011117006B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021233696A1 (de) * 2020-05-22 2021-11-25 Daimler Ag Verfahren zur sicheren nutzung von kryptografischem material

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9894040B2 (en) 2012-09-11 2018-02-13 Microsoft Technology Licensing, Llc Trust services for securing data in the cloud
US8959351B2 (en) * 2012-09-13 2015-02-17 Microsoft Corporation Securely filtering trust services records
CN105117665B (zh) * 2015-07-16 2017-10-31 福建联迪商用设备有限公司 一种终端产品模式与开发模式安全切换的方法及系统
US11271971B1 (en) * 2021-03-19 2022-03-08 King Saud University Device for facilitating managing cyber security health of a connected and autonomous vehicle (CAV)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6963873B2 (en) * 2002-01-02 2005-11-08 Intel Corporation Method and system for automatic association of a signed certificate with a certificate signing request
JP4638427B2 (ja) * 2004-03-31 2011-02-23 パナソニック株式会社 コンテンツ再生端末
JP4600158B2 (ja) * 2005-06-01 2010-12-15 トヨタ自動車株式会社 車両の電子制御装置
US20090083537A1 (en) * 2005-08-10 2009-03-26 Riverbed Technology, Inc. Server configuration selection for ssl interception
US8225096B2 (en) * 2006-10-27 2012-07-17 International Business Machines Corporation System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information
US7926091B2 (en) * 2007-11-27 2011-04-12 GM Global Technology Operations LLC Secure over-the-air modification of automotive vehicular options
US8327146B2 (en) * 2008-03-31 2012-12-04 General Motors Llc Wireless communication using compact certificates
US9860275B2 (en) * 2008-12-30 2018-01-02 Ebay Inc. Systems and methods to rotate security assets used for secure communications
US20120030470A1 (en) * 2010-07-29 2012-02-02 General Motors Llc Wireless programming of vehicle modules

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021233696A1 (de) * 2020-05-22 2021-11-25 Daimler Ag Verfahren zur sicheren nutzung von kryptografischem material
US11764957B2 (en) 2020-05-22 2023-09-19 Mercedes-Benz Group AG Method for secure usage of cryptographic material

Also Published As

Publication number Publication date
DE102011117006B4 (de) 2015-12-31
CN102469107A (zh) 2012-05-23
CN102469107B (zh) 2015-09-30
US8776205B2 (en) 2014-07-08
US20120110654A1 (en) 2012-05-03

Similar Documents

Publication Publication Date Title
DE102017118031B4 (de) Software-authentifizierung vor software-aktualisierung
EP2870565B1 (de) Überprüfung einer integrität von eigenschaftsdaten eines gerätes durch ein prüfgerät
DE102014114606B4 (de) Programmierung von Fahrzeugmodulen mit Remotevorrichtungen und zugehörige Methoden und Systeme
DE112014005412B4 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
DE102018100015A1 (de) Wechselverifizierung vor abschaltung
DE102018100095A1 (de) Softwareaktualisierungs-verwaltung
DE102018101856A1 (de) Sicherheit von Aktualisierungen über eine Luftschnittstelle
DE102015121091A1 (de) Telematik-Update-Softwarekompatibilität
DE102012106791A1 (de) Verfahren und vorrichtung zur automatischen modulaufrüstung
DE102018104079A1 (de) Sichere end-to-end-fahrzeug-ecu-freischaltung in einer halb-offline-umgebung
DE102016115545A1 (de) Mehrstufige sichere fahrzeug-softwareaktualisierung
DE102018130216A1 (de) Fahrzeugkommunikation unter Verwendung eines Publish-Subscribe-Messaging-Protokolls
DE102014219232A1 (de) Fahrzeugdiagnostik- und -prognostiksysteme und verfahren
DE102014219226A1 (de) Fahrzeugdiagnostik- und -prognostiksysteme und verfahren
DE112014004313T5 (de) Überschreiboperation-Erkennungssystem, Überschreiboperation-Erkennungseinrichtung und Informationsverarbeitungseinrichtung
DE102010005422A1 (de) System und Verfahren zum Aufbauen einer sicheren Verbindung mit einer mobilen Vorrichtung
DE102011117006B4 (de) Sicheres Kommunikationsverfahren für ein Fahrzeug
DE102015208750A1 (de) Over-the-air-fahrzeugproblembehebung
DE102014219158A1 (de) Systeme und verfahren für die identifikation eines beeinträchtigten moduls
DE102015109057A1 (de) Sperren des Zugriffs auf vertrauliche Fahrzeugdiagnosedaten
DE102017124640A1 (de) Fahrzeuginternes Authentifizierungssystem
DE102017222879A1 (de) Vorrichtung, Verfahr, und Computerprogramm zum Freischalten von einer Fahrzeugkomponente, Fahrzeug-zu-Fahrzeug-Kommunikationsmodul
WO2015197278A1 (de) Verfahren zum betreiben einer ladestation
DE102019104055A1 (de) Diagnosesystem für Kraftfahrzeuge
DE102022212965A1 (de) Sicheres kraftfahrzeugsystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final