本發(fā)明涉及一種用于通過車輛的控制器認證的方法、一種控制器以及一種車輛�����。
背景技術(shù):
車輛與外部位置的可信的且被保護的通訊需要到pki(公鑰基礎(chǔ)設(shè)施)處的連結(jié)或共同密鑰的預(yù)先交換��。后者的交換在車輛的應(yīng)用情況中尤其在預(yù)先未知的通訊對應(yīng)位(kommunikationsgegenstellen)的情況中不可使用�。此外不再可預(yù)先估計在產(chǎn)品壽命上需要多少不同的鑰匙或證書,因為這樣的鑰匙和證書受到時間限制且可變得無效����。
在所有已知的解決方案中��,必須使車輛可從外部位置給自行生成的證書簽名����。這雖然僅是pki標準過程���,然而以至外部的簽名位置的數(shù)字連接為前提條件�����。然而不可假設(shè)的是��,這樣的連接始終可供使用����。此外�����,在該情況中車輛須相對于簽名位置可信����,這帶來進一步的問題。
文件de10354107a1說明了一種相對車輛在外部的置信中心(trustcenter),其用于由軟件提供商所提供的軟件包的證實認可�����。
文件de102010005422a1涉及一種用于構(gòu)建與移動裝置的安全連接的方法���,該移動裝置被配置用于存儲在數(shù)學(xué)上相應(yīng)于第一公鑰的第一私鑰�����。
文件us2013/0212659a1涉及車輛的安全且可信賴的通訊環(huán)境的簡化����。
技術(shù)實現(xiàn)要素:
本發(fā)明現(xiàn)在目的在于����,簡化在車輛中的認證���。
該目的通過根據(jù)權(quán)利要求1的方法�、根據(jù)權(quán)利要求8的控制器或者根據(jù)權(quán)利要求9的車輛來實現(xiàn)�����。
根據(jù)本發(fā)明的用于通過車輛的控制器認證的方法包括如下步驟:
-包括至少一個公鑰且包含車輛個體特征的第一簽名證書和附屬的私鑰的產(chǎn)生;
-第一簽名證書和附屬的私鑰到控制器中的一次性引入����;
-第二證書的生成;
-在控制器中的另一公鑰的借助于私鑰和第二證書的簽名�����;和
-簽名的另一公鑰與第一簽名證書一起的提供���。
根據(jù)本發(fā)明的方法所具有的優(yōu)點是�����,車輛或者控制器此時可自行產(chǎn)生證書����。因此不再必要的是���,使該證書從外部的認證處被簽名��。而是車輛或車輛的控制器是其自身車輛內(nèi)部的認證處或ca(認證授權(quán)(certificateauthority))��。因此�,車輛與外部認證處的通訊(這使得在線連接(onlineanbindung)多余)是不必要的。此外�,車輛可自行簽發(fā)任意多的證書且無須配備固定組的預(yù)簽名的證書。一次性的引入可例如在制造控制器或車輛的情況中進行�����。那么����,不再需要進一步過程來用于引入。一次性的引入還包括第一證書或者鑰匙在控制器中的產(chǎn)生���、第一證書在外部認證處中的簽名和第一簽名證書到控制器中的緊接著的引入����。在簽名中或簽名后�,第一證書或公鑰與另一公鑰一起被提供,從而在將簽名的另一公鑰發(fā)送到接收器處的情況中其還收到第一證書且如此可追溯完整的認證路徑��。
在控制器中可產(chǎn)生另一公鑰和附屬的另一私鑰���。控制器自身可因此產(chǎn)生新的鑰匙對并且簽名相應(yīng)的公鑰�����。兩個另外的鑰匙且可被用于專用應(yīng)用目的,例如用于與外部服務(wù)提供方的通訊����。
設(shè)置成,第一簽名證書包含車輛個體特征�����。這例如可以是車輛識別號vin或fin���。這使得例如在車輛生產(chǎn)商的車隊列或車輛聯(lián)合(fahrzeugverbund)中的更容易的管理成為可能�。
用于簽名的另一公鑰可由車輛的另一控制器傳輸?shù)皆摽刂破魈?���。該控制器然而也可簽名例如由另外的控制器從外部引入的公鑰。因此�����,該控制器對于另一處于車輛中的控制器而言可充當認證主管(zertifizierungsinstanz)�。這所具有的優(yōu)點是,該簽名的功能性僅須在車輛中描繪一次�����。
在兩個控制器之間的傳輸路徑可通過對稱加密方法(例如簽名)來保護。該對稱加密鑰優(yōu)選在另一公鑰和簽名的另一公鑰的交換之前被建立����。這所具有的優(yōu)點是,該公鑰的完備性�����、也就是說無錯性(unverf?lschtheit)始終被確保��。
可設(shè)置成�����,簽名的另一公鑰和附屬的另一私鑰被用于構(gòu)建控制器與新的通訊參與者的安全通訊�。簽名的另一公鑰和附屬的另一私鑰被明確地生成和利用于其相應(yīng)的使用目的,例如用于與外部服務(wù)提供方的在線服務(wù)的通訊�。
第一簽名證書和附屬的私鑰可通過外部的公鑰基礎(chǔ)設(shè)施來產(chǎn)生。這在當?shù)絩ahmen-pki(公鑰基礎(chǔ)設(shè)施)中的連結(jié)被確保���,從而使得外部的通訊參與者可驗證車輛的證書的可信性時�����,是有利的���。該連結(jié)無須持久存在。該上一級的或rahmen-pki可以是多級式的或分支式的���,然而這在所介紹的方法處不明顯變化�。第一簽名證書的可信性同樣可在不同于通過上一級pki��、例如通過其它被引入的特征的路徑上被建立�。這例如可通過將明確的識別號(其不是車輛識別號)引入到證書中來實現(xiàn)。該識別號然后在至第三提供方的連接構(gòu)建的情況中通過生廠商后端被確認����。以此可例如建立相對第三方的使用假名(pseudonymit?t),這也就是說識別特征通過假名替代�����,以便于排除車輛的識別或明顯使得車輛的識別變得困難���。通訊參與者可從車輛生產(chǎn)商的外部后端在運行時間上驗證這些被引入的特征��。
第一簽名證書可包括姓名以及對證書有效性的時間段的說明����。這些擴展的信息使得在pki內(nèi)的管理變得容易。姓名可包括生產(chǎn)商名���、車輛的標示和/或控制器的標示��。
根據(jù)本發(fā)明的控制器被設(shè)置用于使用在車輛中且進一步被設(shè)置用于實施先前所說明的方法���。其適于與先前所說明的相同的優(yōu)點和修改。
根據(jù)本發(fā)明的帶有至少一個控制器的車輛包括如先前所說明的那樣的控制器����。其適于與先前所說明的相同的優(yōu)點和修改。
進一步可設(shè)置成�,使車輛具有另一控制器,其中�����,兩個控制器經(jīng)由通訊路徑彼此相連接�,且另一控制器被設(shè)置用于經(jīng)由通訊路徑將用于簽名的公鑰傳輸?shù)娇刂破魈帯��?刂破饕虼耸褂昧硪惶幵谲囕v中的控制器作為認證主管�����。這所具有的優(yōu)點是���,該簽名的功能性僅須在車輛中被描繪一次����。
該控制器和另一控制器可被設(shè)置用于通過對稱加密方法(例如簽名)保護在兩個控制器之間的連接���。這所具有的優(yōu)點是�����,所發(fā)送的尤其該公鑰的數(shù)據(jù)的完備性(這也就是說無錯性)始終被確保����。
本發(fā)明的另外的優(yōu)選的設(shè)計方案由其余在從屬權(quán)利要求中所提及的特征得出�。
只要在個別情況中不另外闡述,本發(fā)明的不同的在該申請中所提及的實施形式可有利地彼此組合�。
附圖說明
接下來在實施例中根據(jù)附圖闡述本發(fā)明。其中:
圖1顯示了帶有充當認證處的控制器的車輛的示意性圖示��。
附圖標記清單
10車輛
12控制器
14控制器
16接口
18通訊連接
20接口
21密鑰
22接口
24rahmen-pki
26連接
28第一簽名證書
30公鑰
32私鑰
34另一私鑰
36另一公鑰
36a簽名的另一公鑰
38另一公鑰
38a簽名的另一公鑰
40認證過程
42第二證書
44私鑰�����。
具體實施方式
圖1顯示了車輛10例如轎車、載重汽車��、公交車����、摩托車或軌道車輛、飛機或船只�。車輛10包含第一控制器12和第二控制器14。兩個控制器12和14用于相應(yīng)地控制例如發(fā)動機控制部或?qū)Ш较到y(tǒng)的一個或多個特殊功能�。每個控制器12和14包含用于實施編程或計算功能的計算單元。原則上�,下面所說明的方法也可在其它作為控制器的單元、例如微處理器上實施��。其它單元可以是車輛的可實施計算如鑰匙派生(schluesselableitung)�、證書的產(chǎn)生或鑰匙的簽名的任意構(gòu)件。出于清晰性的原因�,在圖1中未示出僅輔助性功能(例如供電)的構(gòu)件。
第一控制器12具有用于至第二控制器14的通訊連接18的接口16����。第二控制器14具有用于至第二控制器14的通訊連接18的相應(yīng)的接口20。通訊連接18可以是在兩個控制器12與14之間的點對點的連接或是一種總線系統(tǒng)(例如can總線)。此處還包括其它連接可行性方案例如以太網(wǎng)連接或無線連接�����。通訊連接18被優(yōu)選對稱地簽名�。此外,在制造控制器12和14的情況中或者在制造車輛的情況中密鑰21被引入到兩個控制器12和14中�����,這然后充當用于經(jīng)由通訊連接18被發(fā)送的數(shù)據(jù)的簽名的參考�����。
第一控制器12具有用于引入數(shù)據(jù)的另一接口22����,其用于將車輛內(nèi)部的認證處或ca的功能性給予第一控制器12�����。該另一接口22也可被包含在接口16中����,從而使得第一控制器12僅包括一個接口。
借助于接口22,第一控制器12至少在車輛12的制造期間與rahmen-pki24(公鑰基礎(chǔ)設(shè)施)相連接�。該連接26可以是電纜連結(jié)的或無電纜的,例如wlan或移動無線網(wǎng)�。還可能的是,該連接不直接地(如示出的那樣)而是間接地設(shè)計�����,例如經(jīng)由另一控制器����。
在rahmen-pki24中,包括至少一個公鑰30的第一簽名證書28和用于非對稱加密的附屬的私鑰32的產(chǎn)生���。第一簽名證書28可選地包含車輛個體特征����,例如車輛識別號vin或fin�。第一簽名證書28還可包括姓名以及對證書28的有效性的時間段的說明。
經(jīng)由連接26��,一次性地例如在制造車輛10的情況中將至少包括公鑰30的第一簽名證書28和附屬的私鑰32引入到第一控制器12中��。第一簽名證書28授權(quán)第一控制器12�,用以簽名其它證書�����。
備選地�����,第一控制器12可產(chǎn)生包括至少一個公鑰30的第一證書和用于非對稱加密的附屬的私鑰32�����。緊接著���,第一控制器12將用于簽名的第一證書發(fā)送到rahmen-pki24處�。其然后將第一簽名證書28發(fā)回到控制器12處。
利用第一簽名證書28或者公鑰30和附屬的私鑰32����,控制器12可簽名另一或任意多的另外的證書或公鑰36和附屬的另一私鑰34。兩個另外的鑰匙34和36可被用于專用的使用目的�,例如用于與外部服務(wù)提供方的通訊。
另一或任意多的另外的證書或公鑰38可經(jīng)由通訊連接18從第二控制器14被引入到第一控制器12中�。
在認證過程40或簽名過程中,另一公鑰36在第一控制器12中借助于也可被稱作簽名鑰匙的私鑰32和第二證書42被簽名或認證���。第二證書42可在該過程中或已事先被生成����。換而言之,簽名經(jīng)由公鑰或經(jīng)由包含公鑰的證書生成�。通常,所生成的簽名被附加到簽名的鑰匙處或者到簽名的證書處或單獨地傳輸���。最后�����,第一證書28與簽名的另一公鑰36a一起被提供且然后被發(fā)送到新的通訊參與者處���。
當此時利用該簽名的另一公鑰36a向外通訊時,例如經(jīng)由接口16或另一至外部服務(wù)提供方的接口�,其可驗證直至rahmen-pki24的簽名鏈。此外���,第二證書42包含另一公鑰36a且由私鑰32簽署��。相對私鑰32的附屬的證書是第一簽名證書28且包含公鑰30��。第一簽名證書28由rahmen-pki24簽署�。
那么,外部服務(wù)提供方包含rahmen-pki24的公鑰��。其利用該公鑰驗證第一簽名證書28且因此驗證控制器12的被包含在其中的公鑰30�。其利用該公鑰然后驗證包含另一簽名的公鑰36a的第二證書42。
由此��,外部服務(wù)提供方然后將簽名的另一公鑰36a的可信性追溯到rahmen-pki24上且信任其��,從而使得控制器12可將附屬的私鑰34與簽名的另一公鑰36a一起用于可信的通訊���。
此外��,第一控制器12可充當用于第二控制器14的認證處或認證主管��。另外�,第一控制器12類似于在認證過程40中的上面的說明來將另一證書或者另一公鑰38簽名至至簽名的另一公鑰38a��,其于是包括地或者一起發(fā)送地獲得第二證書42和第一證書28�。簽名的另一公鑰38a經(jīng)由通訊連接18傳輸回到第二控制器14處��。
第二控制器14此時可利用簽名的另一公鑰38a和在控制器14中存在的同樣可由第一控制器12被產(chǎn)生的私鑰44構(gòu)建通過非對稱加密方法確保的連接�。
車輛或者控制器被置身于可自行產(chǎn)生證書。不再強制性必要的是�,使該證書由外部的認證處被簽名�。而是車輛或車輛的控制器是其自身的車輛內(nèi)部的認證處或ca(certificateauthority)�。
此外,車輛或者控制器可充當用于其它車輛或設(shè)備的認證處或ca���。例如由外部設(shè)備(例如配對之后的智能手機)的證書的簽名是可能的����,使得智能手機之后由此相對車輛可被證實���。此外可設(shè)置成�����,在車輛中設(shè)置有多個此類起ca作用的控制器����,這在此處否則建議的中心化的優(yōu)點的情況中意為著扣除(abstriche)�����,然而在離散系統(tǒng)或要求的情況中提供了優(yōu)點�����。