用于釋放控制設(shè)備的功能的方法和裝置的制造方法
【專利摘要】用于釋放控制設(shè)備(4)的、尤其機動車輛(2)的控制設(shè)備(4)的至少一個功能的方法�,包括步驟:a)在控制設(shè)備(4)中產(chǎn)生隨機值;b)通過控制設(shè)備(4)由隨機值計算參考值����;c)將隨機值傳輸給遠程控制裝置(5)并且從遠程控制裝置(5)傳輸給服務(wù)器(8);d)通過服務(wù)器(8)并且對于給出遠程控制裝置(5)的權(quán)限的情況檢驗傳輸隨機值的遠程控制裝置(5)的權(quán)限��;e)通過服務(wù)器(8)由隨機值產(chǎn)生應(yīng)答值���;f)將應(yīng)答值傳輸給遠程控制裝置(5),并且從遠程控制裝置(5)傳輸給控制設(shè)備(4)�;g)將應(yīng)答值與參考值比較,并且如果應(yīng)答值與參考值一致�,那么釋放控制設(shè)備(4)的至少一個功能。
【專利說明】
用于釋放控制設(shè)備的功能的方法和裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及用于釋放控制設(shè)備的���、尤其機動車輛的控制設(shè)備的功能的方法和裝置��。
【背景技術(shù)】
[0002]在借助于安裝在車輛中的控制設(shè)備進行車輛診斷時�����,僅在由診斷軟件開啟了安全相關(guān)的數(shù)據(jù)和服務(wù)之后�����,尤其是所述安全相關(guān)的數(shù)據(jù)和服務(wù)才應(yīng)當(dāng)是可用的����。用于這樣的安全相關(guān)的功能的典型的示例是訓(xùn)練新的道路行駛鎖閉裝置或者逐漸熟悉新的軟件版本。
[0003]所述開啟通常通過所謂的“種子密鑰方法(Seed&Key-Verfahren)”進行��,其中測試設(shè)備和控制設(shè)備分享秘密算法或者密鑰�����。這樣的已知的方法通常如下運行:
1.在控制設(shè)備和車間測試設(shè)備之間建立數(shù)據(jù)連接��。
2.測試設(shè)備中的診斷軟件通過數(shù)據(jù)連接向控制設(shè)備發(fā)起詢問���,使得具體的安全相關(guān)的功能可以被開啟��。
3.控制設(shè)備利用隨機值應(yīng)答所述測試軟件����。
4.因為測試設(shè)備中的診斷軟件知道秘密算法,所以所述診斷軟件能夠由隨機值計算適當(dāng)?shù)膽?yīng)答����。測試設(shè)備將所述應(yīng)答發(fā)送回到控制設(shè)備。
5.控制設(shè)備檢驗診斷軟件的應(yīng)答��,其方式是:所述控制設(shè)備自身通過秘密算法由隨機值計算應(yīng)答�����,并且與由測試設(shè)備傳輸?shù)膽?yīng)答比較�。
6.如果測試軟件的應(yīng)答與在控制設(shè)備中計算的值一致,那么安全相關(guān)的功能被開啟����。
7.控制設(shè)備將反饋發(fā)送給診斷軟件:是否進行所述開啟。
8.診斷軟件以及因此執(zhí)行這樣的修理的車間現(xiàn)在能夠?qū)嵤┧_啟的功能�。
[0004]由于法律規(guī)定�����,即使修理包括安全相關(guān)的功能����,車輛制造商也必須使自由的車間能夠執(zhí)行KFZ修理以及開啟對此必要的控制設(shè)備功能�。
[0005]通常�,KFZ制造商對此將包含相應(yīng)的種子密鑰算法的程序庫遞交給測試設(shè)備和/或診斷軟件的制造商。利用所述程序庫���,測試設(shè)備/診斷軟件的制造商能夠也實現(xiàn)安全相關(guān)的功能����,并且因此也使自由的車間能夠進行安全相關(guān)的修理����。但是將程序庫交付給外部、尤其自由的車間意味著一定的安全風(fēng)險�。
[0006]發(fā)明任務(wù)
本發(fā)明的任務(wù)是,提供用于釋放控制設(shè)備����、尤其機動車輛控制設(shè)備的功能的改善的方法和改善的裝置,并且在此尤其能夠?qū)崿F(xiàn)對控制設(shè)備的功能的訪問的改善的控制��。
【發(fā)明內(nèi)容】
[0007]用于釋放對控制設(shè)備的外部訪問��、尤其用于釋放控制設(shè)備的功能的方法��,其中控制設(shè)備尤其是機動車輛的控制設(shè)備����,所述方法包括步驟:
a)建立在遠程控制裝置和控制設(shè)備之間的數(shù)據(jù)連接����;
b)將第一請求信號從遠程控制裝置傳輸給控制設(shè)備�����; C)將用于反應(yīng)于所述請求信號產(chǎn)生隨機值的控制設(shè)備的裝置激活��,所述裝置鑒于所述請求信號產(chǎn)生隨機值��;
d)將在控制設(shè)備的參考值產(chǎn)生單元的存儲器中所存儲的計算準則激活����,用于由隨機值計算參考值,并且將參考值存放在控制設(shè)備的存儲單元中�����,其中所述參考值通過對隨機值應(yīng)用所述計算準則來計算��;
e)將所產(chǎn)生的隨機值傳輸給與遠程控制裝置在空間上分開的鑒權(quán)裝置�;
f)通過鑒權(quán)裝置��、尤其通過計算應(yīng)答值提供與隨機值相符合的應(yīng)答值,其中所述應(yīng)答值通過對隨機值應(yīng)用在鑒權(quán)裝置的存儲器中存儲的計算準則來計算��;
g)將應(yīng)答值傳輸給控制設(shè)備����;
h)通過比較單元將所傳輸?shù)膽?yīng)答值與之前計算的并且存儲在控制設(shè)備的存儲單元中的參考值比較,和�����,
i)如果應(yīng)答值與參考值相一致��,那么通過釋放單元(Freigabeeinheit)釋放外部訪問��、尤其控制設(shè)備的至少一個功能��。
[0008]控制設(shè)備的至少一個功能的釋放可以尤其通過在與門的一個輸入端處設(shè)置釋放位進行��,使得施加在與門的第二輸入端處用以實施所述至少一個功能的信號在與門的輸出端處被輸出�����。
[0009]本發(fā)明也包括用于釋放對控制設(shè)備的外部訪問����、尤其控制設(shè)備的功能的裝置�����,其中控制設(shè)備尤其是機動車輛的控制設(shè)備���,所述裝置具有:接收單元,所述接收單元被構(gòu)造用于通過數(shù)據(jù)連接接收至少一個隨機值;具有應(yīng)答值產(chǎn)生單元的鑒權(quán)裝置�����,所述應(yīng)答值產(chǎn)生單元用于尤其通過對隨機值應(yīng)用在鑒權(quán)裝置的存儲器中存儲的計算準則而計算應(yīng)答值來產(chǎn)生與隨機值相符合的應(yīng)答值;和發(fā)送單元���,所述發(fā)送單元被構(gòu)造用于發(fā)送所產(chǎn)生的應(yīng)答值����。
[0010]用于釋放對控制設(shè)備的外部訪問�、尤其控制設(shè)備的至少一個功能的按照本發(fā)明的系統(tǒng)具有用于釋放對控制設(shè)備的外部訪問、尤其用于釋放控制設(shè)備的至少一個功能的按照本發(fā)明的裝置;和至少一個與用于釋放對控制設(shè)備的外部訪問的裝置在空間上分開的權(quán)限檢驗裝置�,所述權(quán)限檢驗裝置被構(gòu)造用于檢驗與權(quán)限檢驗裝置在空間上分開的遠程控制裝置的權(quán)限,其中所述控制設(shè)備尤其是機動車輛的控制設(shè)備��。尤其可以通過將由接收單元所接收的遠程控制裝置標識數(shù)據(jù)組與在權(quán)限列表和/或無權(quán)限列表中的項比較來檢驗權(quán)限���,所述權(quán)限列表和/或無權(quán)限列表存儲在權(quán)限檢驗裝置的權(quán)限存儲裝置中�����。
[0011]在一種可能的實施方式中���,系統(tǒng)也包括具有用于產(chǎn)生隨機值的裝置的控制設(shè)備;參考值產(chǎn)生單元�,其被構(gòu)造用于通過對隨機值應(yīng)用存儲在參考值產(chǎn)生單元的存儲器中的計算準則產(chǎn)生至少一個與隨機值相符合的參考值;用于存儲所產(chǎn)生的參考值的存儲單元�����;用于發(fā)送至少一個隨機值的發(fā)送單元����;用于接收至少一個應(yīng)答值的接收單元;用于將在參考值存儲器中所存儲的參考值與至少一個由接收單元所接收的應(yīng)答值比較的比較單元����,和用于如果至少一個所接收的應(yīng)答值與所存儲的參考值相一致,那么釋放對控制設(shè)備的外部訪問��、尤其控制設(shè)備的至少一個功能的釋放單元�。
[0012]在一種實施方式中,至少一個遠程控制裝置被布置在車間中,并且不僅權(quán)限檢驗裝置而且鑒權(quán)裝置被布置在車間之外���。權(quán)限檢驗裝置和/或鑒權(quán)裝置尤其可以被構(gòu)造在共同的中央服務(wù)器中����,所述服務(wù)器在空間上與所述一個/多個遠程控制裝置分開地布置���,并且可以與在不同的車間中的多個遠程控制裝置連接����,以便集中地管理和分派用于釋放控制設(shè)備功能的權(quán)利�。
[0013]通過由中央服務(wù)器釋放尤其安全相關(guān)的功能,對所述功能的釋放的控制得以改善��,其中所述中央服務(wù)器尤其布置在車間之外����、例如在遠程控制裝置的制造商處、診斷軟件的制造商處和/或授權(quán)服務(wù)提供商處���。
[0014]因為秘密算法或者秘密密鑰按照本發(fā)明不是存儲在每個遠程控制裝置中��,而是存儲在與遠程控制裝置在空間上分開的鑒權(quán)裝置中���、尤其在中央鑒權(quán)裝置中��,所以顯著地降低對于計算應(yīng)答值所需要的秘密算法/密鑰可能落到錯誤的人手中并且被濫用的危險�。通過對中央鑒權(quán)裝置的訪問���,對控制設(shè)備的功能的訪問控制可以被改善和集中化。
[0015]因為對于提供應(yīng)答值所需要的秘密信息和/或算法不必再被給到大量(自由的)車間手中����,所以濫用可以被防止或者至少顯著地變得困難。各個功能�����、遠程控制裝置�����、例如控制和測試設(shè)備�、和/或車間可以在濫用危險的情況下、例如在偷盜后有針對性地被禁止���。對控制設(shè)備的功能的訪問控制因此被改善����,并且使所有者能夠有針對性地限制各個功能、尤其安全相關(guān)的功能的使用�����。
[0016]在另一實施方式中�,鑒權(quán)裝置在空間上與權(quán)限檢驗裝置分開地布置。尤其多個鑒權(quán)裝置可以被設(shè)置并且權(quán)限檢驗裝置可以被構(gòu)造用于例如通過將由控制設(shè)備傳輸?shù)倪x擇標準與在權(quán)限檢驗裝置中存儲的選擇列表中的項比較���,選擇多個鑒權(quán)裝置之一用于產(chǎn)生應(yīng)答值�����,將隨機值傳輸給所選擇的外部鑒權(quán)裝置�����,并且從所選擇的外部鑒權(quán)裝置接收應(yīng)答值�����。
[0017]外部鑒權(quán)裝置例如可以布置在控制設(shè)備制造商和/或車輛制造商處���,并且在其控制下被運行���。
[0018]以這種方式,對于產(chǎn)生應(yīng)答值所需要的秘密信息和/或算法可以保持在布置在控制設(shè)備和/或車輛的制造商處的外部鑒權(quán)裝置上�。以這種方式,安全性還要進一步被提高�,因為如果安全相關(guān)的信息和/或算法保持在制造商的直接控制下,那么所述安全相關(guān)的信息和/或算法落到錯誤的人手中并且被濫用的危險被最小化���。
[0019]所述方法也可以包括:將尤其一對一地分配給遠程控制裝置的遠程控制裝置標識數(shù)據(jù)組從遠程控制裝置傳輸給權(quán)限檢驗裝置���,其中所述權(quán)限檢驗裝置尤其可以與遠程控制裝置在空間上分開��,以及通過權(quán)限檢驗裝置尤其通過將由遠程控制裝置傳輸?shù)倪h程控制裝置標識數(shù)據(jù)組與在權(quán)限列表和/或無權(quán)限列表中的項比較來檢驗遠程控制裝置的權(quán)限����,其中所述權(quán)限列表和/或無權(quán)限列表被存儲在權(quán)限檢驗裝置的權(quán)限存儲裝置中。以這種方式�,各個遠程控制裝置可以有針對性地被釋放和/或禁止。尤其可以禁止丟失的�����、尤其被偷的遠程控制裝置��,以便避免其濫用。
[0020]隨機值的傳輸也可以包括:傳輸功能標識值����,所述功能標識值尤其一對一地被分配給要釋放的功能并且如此使權(quán)限檢驗裝置能夠標識所期望的要釋放的功能,使得權(quán)限的檢驗和釋放可以以功能特定的方式進行��。
[0021]在一種實施方式中����,所述方法可以包括:通過所設(shè)立的數(shù)據(jù)連接將在控制設(shè)備中產(chǎn)生的隨機值從控制設(shè)備傳輸給遠程控制裝置并且從遠程控制裝置傳輸給權(quán)限檢驗裝置和/或鑒權(quán)裝置。因此����,控制設(shè)備的數(shù)據(jù)傳輸可以通過傳統(tǒng)的、在每個通常的控制設(shè)備中設(shè)置的數(shù)據(jù)接口����、例如OBD接口進行,而不需要在控制設(shè)備處的修改��。在該情況下��,在控制設(shè)備中尤其不必構(gòu)造用于將數(shù)據(jù)傳輸給權(quán)限檢驗裝置和/或鑒權(quán)裝置的(附加的)發(fā)送裝置�����。
[0022]本發(fā)明也可以包括:如果遠程控制裝置的權(quán)限的檢驗得到負的結(jié)果、也即如果遠程控制裝置無權(quán)限來實施所詢問的功能�,那么通過阻止單元阻止通過鑒權(quán)裝置對與隨機值相符合的應(yīng)答值的提供和/或應(yīng)答值向控制設(shè)備的傳輸。
[0023]權(quán)限的檢驗尤其可以包括:將所傳輸?shù)臉俗R數(shù)據(jù)組與權(quán)限列表和/無權(quán)限列表的項比較�。在權(quán)限列表(“白名單”)上可以列入有權(quán)限來實施所述一個或多個所期望的功能的車間、控制設(shè)備和/或遠程控制裝置;無權(quán)限的車間和/或無權(quán)限的�、例如被偷的車輛、控制設(shè)備和/或遠程控制裝置可以從權(quán)限列表中被移除和/或被列入無權(quán)限列表(“黑名單”)上����,以便防止對所詢問的一個或多個功能的釋放。
[0024]如果傳輸?shù)臉俗R數(shù)據(jù)組不與權(quán)限列表(“白名單”)中的任一項一致和/或與無權(quán)限列表(“黑名單”)的項中的至少一個項一致�����,那么遠程控制裝置的權(quán)限的檢驗得到負的結(jié)果��,并且阻止單元阻止鑒權(quán)裝置和/或阻止應(yīng)答值向控制設(shè)備的傳輸�����,例如其方式是對于阻止存儲器(Blockadespeicher)設(shè)置阻止位和/或在與門的輸入端處不設(shè)置釋放位�,使得激活信號不由與門轉(zhuǎn)發(fā)����,而是被阻止�����。
[0025]在車輛偷盜后���,針對全部功能的釋放可以通過在無權(quán)限列表中的相應(yīng)的項被禁止;尤其可以激活道路行駛鎖閉裝置,以便使被偷的車輛對于小偷無用����。
[0026]權(quán)限通過提供密碼、個人的標識號碼和/或?qū)ΨQ的或者非對稱的密鑰可以是可預(yù)先給定的和/或可改變的�,以便能夠?qū)?quán)限匹配于當(dāng)前的情況。以這種方式�����,車輛的所有者可以在拜訪車間之前通過權(quán)限列表中的項有針對性地開啟對于計劃的工作需要的功能���,以及僅僅對于拜訪的車間的遠程控制裝置開啟����。所述開啟尤其也可以在時間上受限制地進行��,使得權(quán)限在拜訪車間后自動地失效。
[0027]在一種實施方式中���,所述方法包括從控制設(shè)備通過數(shù)據(jù)連接將關(guān)于發(fā)生的釋放或者未發(fā)生的釋放的反饋傳輸給遠程控制裝置;所述遠程控制裝置于是可以激活被釋放的功能和/或通知用戶:所詢問的功能已經(jīng)被釋放�。
[0028]在一種實施方式中�����,應(yīng)答值的提供包括:借助于預(yù)先給定的���、優(yōu)選地秘密的�����、算法由隨機值計算應(yīng)答值�,和/或在使用非對稱的密碼方法的情況下對隨機值簽名���,所述非對稱的密碼方法基于由公開密鑰和秘密密鑰組成的對�����。
[0029]在一種實施方式中,通過電子數(shù)據(jù)連接����、經(jīng)由電子郵件��、傳真�、SMS���、EMS(增強型消息業(yè)務(wù)(Enhanced Message Service))���、MMS(多媒體信息業(yè)務(wù)(Multimedia MessagingService))、即時通訊(例如WhatsApp)和/或以電話方式在遠程控制裝置和權(quán)限檢驗裝置之間進行隨機值和/或應(yīng)答值的傳輸�����。通過電子數(shù)據(jù)連接的傳輸尤其可以自動地進行�,并且因此能夠?qū)崿F(xiàn)對所述一個或多個所期望的功能的特別方便的釋放。經(jīng)由電子郵件�����、傳真���、SMS�����、EMS(增強型消息業(yè)務(wù)(Enhanced Message Service))�����、MMS(多媒體信息業(yè)務(wù)(MultimediaMessaging Service))�、即時通訊(例如WhatsApp)和/或電話的傳輸能夠?qū)崿F(xiàn):即使電子數(shù)據(jù)傳輸是可能的、例如因為無適當(dāng)?shù)臄?shù)據(jù)連接可供使用����,也開啟所述一個或多個所期望的功能。
[0030]在一種實施方式中���,通過加密的連接進行隨機值和/或應(yīng)答值的傳輸����,以便防止通過第三方對數(shù)據(jù)的操縱和/或?qū)?shù)據(jù)的無權(quán)的窺視�。
[0031]不僅詢問和所執(zhí)行的釋放而且所有由遠程控制裝置實施的功能可以被記錄下來,以便尤其在濫用的情況下能夠?qū)λ鼈冞M行追溯(nachvol Iziehen)��。所述記錄的刪除可以留待診斷軟件�����、機動車輛和/或控制設(shè)備的所有者和/或制造商去做���。記錄的改變是不可能的���,以便避免事后的操縱。
[0032]在預(yù)先給定數(shù)量的無權(quán)的詢問之后����,對機動車輛的所有者和/或制造商的警報消息可以被觸發(fā),以便在可能的濫用企圖之前警告���。功能的釋放也可以持久地或者在預(yù)先給定的時間間隔被禁止�。
[0033]控制設(shè)備的功能尤其可以被分配給多個安全等級之一���。
[0034]公開的第一安全等級例如可以包括以下所有功能:所述功能使得能夠讀出應(yīng)當(dāng)可供所有的�����、例如也可供一個道路故障救援服務(wù)使用的信息����、諸如故障存儲器�。
[0035]受限制的第二安全等級可以包括以下所有功能:所述功能應(yīng)當(dāng)僅可供制造商(“OEM”)和由制造商允許的車間(“一級供應(yīng)商(Tier I suppliers)”)使用,諸如軟件更新或者(故障)存儲器項的刪除�����。
[0036]在控制設(shè)備明確地被標識并且車間或者遠程控制裝置的權(quán)限被確認了之后,于是控制設(shè)備也可以由自由的但是經(jīng)鑒權(quán)的車間重新編程并且尤其被配備更新的軟件�����。
[0037]也可以由遠程控制裝置在鑒權(quán)服務(wù)器中提供附加的存儲器���,所述附加的存儲器被使用用于在車輛診斷期間暫時地存放數(shù)據(jù)��。
[0038]同樣�,附加的存儲器也可以在鑒權(quán)服務(wù)器中被提供給控制設(shè)備���,以便例如實現(xiàn)計數(shù)器����。所述計數(shù)器在車輛診斷期間總是被提供����。
[0039]受保護的第三安全等級可以包括以下所有功能:所述功能應(yīng)當(dāng)僅在通過車輛持有人有針對性地釋放后可供使用,使得所述功能在車輛持有人未獲知和未贊同的情況下不能被執(zhí)行���。在此情況下��,可以例如涉及車輛的GPS數(shù)據(jù)的歷史���,所述歷史使得能夠創(chuàng)建機動車輛或者其駕駛員的運動簡檔。
[0040]不同的安全等級的功能可以通過不同的密碼���、保密碼(“PIN”)和/或?qū)ΨQ的或者非對稱的密鑰被開啟����,所述密碼��、保密碼(“PIN”)和/或?qū)ΨQ的或者非對稱的密鑰分別僅對于有權(quán)限的人員和/或組織是已知的或僅可供有權(quán)限的人員和/或組織使用�����。
【附圖說明】
[0041]以下根據(jù)附圖進一步描述本發(fā)明的實施例�����。在此:
圖1示出用于釋放機動車輛的控制設(shè)備的功能的按照本發(fā)明的系統(tǒng)的第一實施例;和圖2示出用于釋放機動車輛的控制設(shè)備的功能的按照本發(fā)明的系統(tǒng)的第二實施例�。
【具體實施方式】
[0042]圖1示出用于釋放機動車輛2的控制設(shè)備4的功能的按照本發(fā)明的系統(tǒng)的第一實施例的示意性視圖。
[0043]機動車輛2位于車間I中���,并且機動車輛2的控制設(shè)備4通過適當(dāng)?shù)慕涌?3�、例如包括發(fā)送單元43a和接收單元43b的標準化的車輛通信接口(VCI)以無線方式和/或以有線方式通過數(shù)據(jù)連接6從而與車間I中的遠程控制裝置(例如測試和/或診斷設(shè)備)5連接,使得在控制設(shè)備4和遠程控制裝置5之間的數(shù)據(jù)的傳輸是可能的�。
[0044]遠程控制裝置5通過以無線方式和/或有線方式構(gòu)造的數(shù)據(jù)連接7與中央服務(wù)器8連接,所述數(shù)據(jù)連接7尤其也可以包括因特網(wǎng)�����。中央服務(wù)器8典型地位于車間I之外��,并且可通過適當(dāng)?shù)臄?shù)據(jù)連接7與多個遠程控制裝置5連接�����,其中所述遠程控制裝置5尤其可以位于不同的��、在空間上彼此分開的車間I中�。在圖1中出于清楚原因僅示出一個與唯一的遠程控制裝置5的數(shù)據(jù)連接。
[0045]本發(fā)明也包括系統(tǒng)��,其中服務(wù)器8布置在車間I之內(nèi)����,以便對各自的車間I的所有遠程控制裝置5進行鑒權(quán)。
[0046]遠程控制裝置5通過在遠程控制裝置5和控制設(shè)備4之間所建立的數(shù)據(jù)連接6提出用于釋放控制設(shè)備4的受保護的功能的詢問���。反應(yīng)于所述詢問��,在控制設(shè)備4中所構(gòu)造的用于產(chǎn)生隨機值的裝置(隨機數(shù)發(fā)生器)41產(chǎn)生隨機值�����。同樣地設(shè)置在控制設(shè)備4中的參考值產(chǎn)生單元42通過應(yīng)用在參考值產(chǎn)生單元42的存儲器中所存儲的計算準則產(chǎn)生與隨機值相符合的參考值�,并且將所述參考值存儲在存儲裝置42a中??商娲?���,隨機值也可以被存儲在存儲裝置42a中,以便可以后來產(chǎn)生所屬的參考值�����。
[0047]附加地����,由隨機數(shù)發(fā)生器41產(chǎn)生的隨機值通過接口43被傳輸給遠程控制裝置5的第一發(fā)送和接收單元51,并且由遠程控制裝置5的第二發(fā)送和接收單元52繼續(xù)傳輸給服務(wù)器8的接收單元81����。除了隨機值外,也將至少一個標識數(shù)據(jù)組傳輸給服務(wù)器8的接收單元81�,其中所述標識數(shù)據(jù)組尤其一對一地被分配給車輛2���、控制設(shè)備4、車間I和/或遠程控制裝置5���,并且標識車輛2�����、控制設(shè)備4�����、車間I和/或遠程控制裝置5�����。
[0048]標識數(shù)據(jù)組尤其可以包括唯一的標識特征��、諸如車輛2的車輛標識號(VIN)和/或遠程控制裝置5的“媒體訪問控制地址(“MAC地址”)”����,并且加密地和/或簽名地從遠程控制裝置5被傳輸給服務(wù)器8的接收單元81��。
[0049]在服務(wù)器8中構(gòu)造的權(quán)限檢驗裝置82根據(jù)所傳輸?shù)男畔⒂绕渫ㄟ^將所傳輸?shù)臉俗R數(shù)據(jù)組與存儲在權(quán)限存儲裝置82a中的權(quán)限數(shù)據(jù)庫的數(shù)據(jù)組比較來檢驗:遠程控制裝置5和/或車間I是否有權(quán)限開啟或者激活所詢問的功能。
[0050]如果車間I和/或遠程控制裝置5的權(quán)限被給出�����,尤其因為與傳輸?shù)臉俗R數(shù)據(jù)組相符合的數(shù)據(jù)組被存儲在權(quán)限存儲裝置82a中并且不被標記為禁止的���,那么同樣地在服務(wù)器8之內(nèi)構(gòu)造的鑒權(quán)裝置83由所傳輸?shù)碾S機值產(chǎn)生應(yīng)答值���,所述應(yīng)答值通過服務(wù)器8的發(fā)送單元84又被傳輸給遠程控制裝置5并且從遠程控制裝置5的第一發(fā)送和接收單元51被傳輸給車輛2的控制設(shè)備4。
[0051]為了產(chǎn)生應(yīng)答值����,所述鑒權(quán)裝置83尤其具有帶有存儲器的應(yīng)答值計算單元85�����,至少一個秘密算法被存儲在所述存儲器中��,所述算法使得能夠由所傳輸?shù)碾S機值計算相符合的應(yīng)答值���。應(yīng)答值計算單元85也可以被構(gòu)造為簽名單元�����,所述簽名單元在使用非對稱的密碼方法的情況下利用存儲在應(yīng)答值計算單元85的存儲器中的秘密密鑰對隨機值進行簽名�����。
[0052]因為秘密算法或者秘密密鑰按照本發(fā)明僅被存儲在中央服務(wù)器8上而不被存儲在每個遠程控制裝置5上�,所以顯著地降低秘密算法/密鑰可能落到錯誤的人手中并且被濫用的危險。
[0053]在控制設(shè)備4中構(gòu)造的比較和釋放單元45將應(yīng)答值與參考值比較���,并且如果所接收的應(yīng)答值與所計算的參考值一致��,那么(僅)釋放控制設(shè)備4的所述一個或多個所詢問的功能����,其中所述應(yīng)答值從服務(wù)器8通過遠程控制裝置5傳輸給控制設(shè)備4���,并且所述參考值之前由參考值產(chǎn)生單元42由隨機值產(chǎn)生并且存儲在存儲單元42a中����。
[0054]服務(wù)器8也具有輸入裝置86���,所述輸入裝置86可以被構(gòu)造為鍵盤�����、觸摸屏和/或因特網(wǎng)入口���,并且所述輸入裝置86使車輛持有人或者其它的被授權(quán)的人員�����、例如核準當(dāng)局或者制造商的工作人員能夠修改針對釋放控制設(shè)備4的功能的����、存儲在權(quán)限存儲裝置82a中的權(quán)限���。該權(quán)限可以以這種方式單獨地被匹配于相應(yīng)當(dāng)前的情形�。在計劃的車間拜訪的情況下����,對于所設(shè)置的工作需要的功能尤其可以有針對性地僅對于被拜訪的車間I和存在于車間I中的遠程控制裝置(測試和診斷設(shè)備)5被開啟����。在車輛2偷盜后,車輛2的控制設(shè)備4的全部功能可以被禁止和/或道路行駛鎖閉裝置的全部的功能被激活����,以便使車輛2對于小偷不能用。
[0055 ]為了能夠?qū)崿F(xiàn)通過因特網(wǎng)入口接入(Zugang ),適當(dāng)?shù)能浖梢岳缱鳛椤癆pp”或者作為PC應(yīng)用程序被提供�。可替代地或者附加地���,基于瀏覽器的接入可以被提供���。
[0056]釋放也可以與支付系統(tǒng)耦合,以便僅在相應(yīng)的支付后才釋放付費的功能(“按使用付費(pay-per-use)�,,)�����。
[0057]替代于或者附加于服務(wù)器8處的輸入裝置86��,輸入裝置3也可以被設(shè)置在機動車輛2處或者機動車輛2中���,所述輸入裝置3使駕駛員和/或車輛持有人能夠進行權(quán)限的所期望的修改�����。在該情況下�,駕駛員和/或車輛持有人的輸入從輸入單元3通過控制設(shè)備4和遠程控制裝置5被傳輸給服務(wù)器8以及尤其被傳輸給權(quán)限檢驗裝置82�,以便修改權(quán)限存儲裝置82a中的項�。
[0058]修改權(quán)限存儲裝置82a中的項的前提條件可以是提供密碼�、個人標識號和/或?qū)ΨQ的或者非對稱的密鑰,以便有效地防止對權(quán)限存儲裝置82a中的項的無權(quán)的訪問���。
[0059]如果機動車輛2被出售��,用于修改權(quán)限的權(quán)利可以從賣方轉(zhuǎn)移到買方�����。在此�,過去的所有者(賣方)的權(quán)利以及由其分派的權(quán)限被取消����。
[0060]圖2示意性地示出按照本發(fā)明的系統(tǒng)的第二實施例。
[0061]與在圖1中示出的第一實施例的特征一致的這樣的特征配備有相同的附圖標記����,并且不重新詳細地予以描述,以便避免重復(fù)��。
[0062]不同于在第一實施例中�����,在第二實施例中鑒權(quán)裝置83不與權(quán)限檢驗裝置82—起被構(gòu)造在共同的服務(wù)器8內(nèi)����。
[0063]換而言之,在服務(wù)器8中除了權(quán)限檢驗裝置82外設(shè)置附加的發(fā)送/接收單元88�����,所述發(fā)送/接收單元88通過至少一個適當(dāng)?shù)臄?shù)據(jù)連接7與外部鑒權(quán)裝置83a��、83b�����、83c連接���,其中所述數(shù)據(jù)連接7尤其也可以通過因特網(wǎng)被構(gòu)建�����,所述外部鑒權(quán)裝置83a����、83b���、83c例如由機動車輛制造商準備以及運行����。
[0064]在權(quán)限檢驗裝置82已經(jīng)檢驗和確認了開啟所期望的功能的、傳輸隨機值的遠程控制裝置5的權(quán)限之后(如對于第一實施例描述的那樣)����,由發(fā)送/接收單元88選擇適當(dāng)?shù)耐獠胯b權(quán)裝置83a、83b��、83c���、尤其控制設(shè)備4和/或機動車輛2的制造商的鑒權(quán)裝置83a�、83b�����、83c�,并且將隨機值傳輸給所選擇的鑒權(quán)裝置83a、83b����、83c。所選擇的鑒權(quán)裝置83a、83b�、83c計算與所傳輸?shù)碾S機值相符合的應(yīng)答值�����。如對于第一實施例詳盡地描述的那樣��,該應(yīng)答值通過數(shù)據(jù)連接7�����、發(fā)送和接收單元88以及發(fā)送裝置84被傳輸給遠程控制裝置5�����,并且從遠程控制裝置5通過數(shù)據(jù)連接6傳輸給機動車輛2的控制設(shè)備4并且在那里被分析��。
[0065]因為為了計算應(yīng)答值所需要的秘密算法和/或密鑰可以保持在制造商的鑒權(quán)裝置83a�、83b、83c上�,并且因此保持在其完全的控制之下,所以通過按照第二實施例的結(jié)構(gòu)�,系統(tǒng)的安全性還進一步被提高。
[0066]在權(quán)限檢驗裝置82��、遠程控制裝置5和/或至少一個鑒權(quán)裝置83a�����、83b、83c之間的數(shù)據(jù)傳輸可以尤其加密地和/或簽名地進行��,其中尤其是基于由秘密密鑰和公開密鑰組成的對的非對稱的加密和簽名方法可以被使用��,以便有效地防止在傳輸路徑上對數(shù)據(jù)的竊聽和/或操縱�����。
[0067]通過第一或者第二實施例的鑒權(quán)裝置83���、83a�����、83b���、83c對應(yīng)答值的計算可以利用秘密種子密鑰算法進行??商娲兀S機值可以利用秘密密鑰簽名�����,并且所述簽名可以在使用與秘密密鑰相符合的公開密鑰的情況下被檢驗。
【主權(quán)項】
1.用于釋放對控制設(shè)備(4)的外部訪問�����、尤其用于釋放控制設(shè)備(4)的功能的方法���,其中所述控制設(shè)備(4)尤其是機動車輛(2)的控制設(shè)備(4),并且其中所述方法包括以下步驟: a)建立在遠程控制裝置(5)和控制設(shè)備(4)之間的數(shù)據(jù)連接(6); b)將第一請求信號從所述遠程控制裝置(5)傳輸給所述控制設(shè)備(4); c)將用于反應(yīng)于所述請求信號產(chǎn)生隨機值的控制設(shè)備(4)的裝置(41)激活�����,所述裝置(41)鑒于所述請求信號產(chǎn)生隨機值�; d)將在控制設(shè)備(4)的參考值產(chǎn)生單元(42)的存儲器中所存儲的計算準則激活用于由隨機值計算參考值,并且將通過對隨機值應(yīng)用所述計算準則而計算的參考值存放在控制設(shè)備(4)的存儲單元(42a)中��; e)將所產(chǎn)生的隨機值傳輸給與遠程控制裝置(5)在空間上分開的鑒權(quán)裝置(83;83a���、83b�����、83c)�; f)通過鑒權(quán)裝置(83;83a、83b����、83c)尤其通過計算應(yīng)答值提供與隨機值相符合的應(yīng)答值,其中所述應(yīng)答值通過對所述隨機值應(yīng)用在鑒權(quán)裝置(83;83a�����、83b���、83c)的存儲器中存儲的計算準則來計算���; g)將應(yīng)答值傳輸給所述控制設(shè)備(4); h)通過比較單元(45)將所傳輸?shù)膽?yīng)答值與之前計算的并且存儲在控制設(shè)備(4)的存儲單元(42a)中的參考值比較,和 i)如果應(yīng)答值與參考值一致���,那么通過釋放單元(46)釋放外部訪問�、尤其是控制設(shè)備(4)的至少一個功能����。2.按照權(quán)利要求1所述的方法,其中所述方法包括: 將尤其一對一地分配給遠程控制裝置(5)的遠程控制裝置標識數(shù)據(jù)組從遠程控制裝置(5)傳輸給權(quán)限檢驗裝置(82)����,其中所述權(quán)限檢驗裝置(82)尤其與遠程控制裝置(5)在空間上分開�,并且通過權(quán)限檢驗裝置(82)尤其通過將由遠程控制裝置(5)傳輸?shù)倪h程控制裝置標識數(shù)據(jù)組與權(quán)限列表和/或無權(quán)限列表中的項比較來檢驗遠程控制裝置(5)的權(quán)限���,其中所述權(quán)限列表和/或無權(quán)限列表存儲在權(quán)限檢驗裝置(82)的權(quán)限存儲裝置(82a)中���。3.按照權(quán)利要求2所述的方法,其中所述方法包括:通過所設(shè)立的數(shù)據(jù)連接(6)將在控制設(shè)備(4)中產(chǎn)生的隨機值從所述控制設(shè)備(4)傳輸給遠程控制裝置(5)并且從所述遠程控制裝置(5)傳輸給權(quán)限檢驗裝置(82)和/或鑒權(quán)裝置(83;83a����、83b����、83c)。4.按照權(quán)利要求2或3所述的方法����,其中所述方法包括:如果遠程控制裝置(5)的權(quán)限的檢驗得到負的結(jié)果,那么通過阻止單元阻止通過鑒權(quán)裝置(83; 83a���、83b�����、83c)對與隨機值相符合的應(yīng)答值的提供和/或應(yīng)答值向控制設(shè)備(4)的傳輸�。5.按照權(quán)利要求2至4之一所述的方法,其中權(quán)限檢驗裝置(82)和鑒權(quán)裝置(83)中的至少一個被構(gòu)造在中央服務(wù)器(8)中��,其中所述鑒權(quán)裝置(83)和所述權(quán)限檢驗裝置(82)尤其被構(gòu)造在共同的中央服務(wù)器(8)中�����。6.按照權(quán)利要求2至5之一所述的方法�,其中所述鑒權(quán)裝置(83a、83b��、83c)在空間上與所述權(quán)限檢驗裝置(82)分開地布置�����。7.按照權(quán)利要求6所述的方法���,其中多個鑒權(quán)裝置(83a��、83b�����、83c)被設(shè)置并且所述權(quán)限檢驗裝置(82)被構(gòu)造用于尤其通過將由控制設(shè)備(4)傳輸?shù)倪x擇標準與在權(quán)限檢驗裝置(82)中存儲的選擇列表中的項比較來選擇一個或多個鑒權(quán)裝置(83a�����、83b�、83c)用于產(chǎn)生應(yīng)答值。8.按照上述權(quán)利要求之一所述的方法�,其中所述方法附加地包括:通過數(shù)據(jù)連接(6)將關(guān)于發(fā)生的釋放和/或未發(fā)生的釋放的反饋從控制設(shè)備(4)傳輸給遠程控制裝置(5)。9.按照上述權(quán)利要求之一所述的方法�����,其中所釋放的功能包括將道路行駛鎖閉裝置激活和/或去激活�����,和/或從控制設(shè)備(4)查詢數(shù)據(jù)�����,和/或?qū)?shù)據(jù)寫入到控制設(shè)備(4)中���。10.按照上述權(quán)利要求之一所述的方法,其中應(yīng)答值的計算包括:使用基于非對稱的密鑰對的密碼算法�����。11.按照上述權(quán)利要求之一所述的方法���,其中遠程控制裝置(5)的權(quán)限的檢驗包括:查詢密碼���、個人標識號和/或密鑰����,并且只有當(dāng)密碼�、個人標識號和/或密鑰與存儲在權(quán)限檢驗裝置(82)中的值一致時,才提供與隨機值相符合的應(yīng)答值���。12.按照上述權(quán)利要求之一所述的方法�,其中在輸入和/或提供密碼����、個人標識號和/或密鑰后,所述權(quán)限列表和/或無權(quán)限列表能夠在權(quán)限單元處被預(yù)先給定和/或改變�。13.用于釋放對控制設(shè)備(4)的外部訪問、尤其控制設(shè)備(4)的功能的裝置�,其中所述控制設(shè)備(4)尤其是機動車輛(2)的控制設(shè)備(4),其具有: (a)接收單元(81)����,所述接收單元(81)被構(gòu)造用于通過數(shù)據(jù)連接(7)接收至少一個隨機值; (b)鑒權(quán)裝置(83;83a����、83b���、83c),其具有用于尤其通過由對隨機值應(yīng)用在鑒權(quán)裝置(83;83a����、83b、83c)的存儲器中存儲的計算準則計算應(yīng)答值來產(chǎn)生與隨機值相符合的應(yīng)答值的應(yīng)答值產(chǎn)生單元;和 (c)發(fā)送單元(84)���,所述發(fā)送單元(84)被構(gòu)造用于發(fā)送所產(chǎn)生的應(yīng)答值���。14.按照權(quán)利要求13所述的裝置,其中所述發(fā)送單元(84)被構(gòu)造用于將應(yīng)答值傳輸給所述控制設(shè)備(4)和/或傳輸給與所述裝置在空間上分開的遠程控制裝置(5)����。15.按照權(quán)利要求13或14所述的裝置�,其中所述接收單元(81)被構(gòu)造用于從控制設(shè)備(4)和/或從至少一個與所述裝置在空間上分開的遠程控制裝置(5)接收隨機值。16.按照權(quán)利要求13至15之一所述的裝置�,其中所述接收單元(81)被構(gòu)造用于,從至少一個與所述裝置在空間上分開的遠程控制裝置(5)接收遠程控制裝置標識數(shù)據(jù)組�,所述遠程控制裝置標識數(shù)據(jù)組尤其一對一地被分配給所述遠程控制裝置(5)。17.按照權(quán)利要求16所述的裝置��,其具有與所述遠程控制裝置(5)在空間上分開的權(quán)限檢驗裝置(82),所述權(quán)限檢驗裝置(82)被構(gòu)造用于尤其通過將由接收單元(81)所接收的遠程控制裝置標識數(shù)據(jù)組與權(quán)限列表和/或無權(quán)限列表中的項比較來檢驗遠程控制裝置(5)的權(quán)限��,所述權(quán)限列表和/或無權(quán)限列表存儲在權(quán)限檢驗裝置(82)的權(quán)限存儲裝置(82a)中�����。18.按照權(quán)利要求17所述的裝置�,其中所述權(quán)限檢驗裝置(82)包括阻止單元,所述阻止單元被構(gòu)造用于如果遠程控制裝置(5)的權(quán)限的檢驗得到負的結(jié)果���,那么阻止所述鑒權(quán)裝置(83;83a���、83b、83c)和/或所述發(fā)送單元(84)��,使得不產(chǎn)生或者發(fā)送應(yīng)答值����。19.按照權(quán)利要求17或18所述的裝置,其中所述權(quán)限檢驗裝置(82)附加地具有輸入裝置(86)�,所述輸入裝置(86)使用戶能夠?qū)⒚艽a、個人標識號和/或密鑰輸入到權(quán)限檢驗裝置(82)中�,其中所述權(quán)限列表和/或無權(quán)限列表在輸入和/或提供密碼、個人標識號和/或密鑰后能夠被預(yù)先給定和/或改變。20.用于釋放對控制設(shè)備(4)的外部訪問�����、尤其控制設(shè)備(4)的至少一個功能的系統(tǒng)��,其中所述控制設(shè)備(4)尤其是機動車輛(2)的控制設(shè)備(4)�,具有: A)按照權(quán)利要求13至19之一所述的用于釋放對控制設(shè)備(4)的外部訪問、尤其用于釋放控制設(shè)備(4)的至少一個功能的裝置;和 B)至少一個與用于釋放對控制設(shè)備(4)的外部訪問的裝置在空間上分開的權(quán)限檢驗裝置(82)�����,所述權(quán)限檢驗裝置(82)被構(gòu)造用于尤其通過將由接收單元(81)所接收的遠程控制裝置標識數(shù)據(jù)組與權(quán)限列表和/或無權(quán)限列表中的項比較來檢驗與權(quán)限檢驗裝置(82)在空間上分開的遠程控制裝置(5)的權(quán)限��,其中所述權(quán)限列表和/或無權(quán)限列表存儲在權(quán)限檢驗裝置(82)的權(quán)限存儲裝置(82a)中�����。21.按照權(quán)利要求20所述的系統(tǒng)����,其中所述系統(tǒng)包括多個鑒權(quán)裝置(83&、8313�、83(3)���,并且所述權(quán)限檢驗裝置(82)被構(gòu)造用于尤其通過將從控制設(shè)備(4)傳輸?shù)倪x擇標準與存儲在權(quán)限檢驗裝置(82)中的選擇列表中的項比較來選擇多個鑒權(quán)裝置(83a�、83b、83c)之一用于產(chǎn)生應(yīng)答值��。22.按照權(quán)利要求20或21所述的系統(tǒng)�����,其中所述權(quán)限檢驗裝置(82)包括阻止單元�����,所述阻止單元被構(gòu)造用于���,如果遠程控制裝置(5)的權(quán)限的檢驗得到負的結(jié)果����,那么阻止所述鑒權(quán)裝置(83;83a�、83b、83c)和/或所述發(fā)送單元(84)�����,使得不產(chǎn)生或者發(fā)送應(yīng)答值��。23.按照權(quán)利要求20至22之一所述的系統(tǒng),其中所述權(quán)限檢驗裝置(82)附加地具有輸入裝置(86)�����,所述輸入裝置(86)使用戶能夠?qū)⒚艽a���、個人標識號和/或密鑰輸入到權(quán)限單元中���,其中所述權(quán)限列表和/或無權(quán)限列表在輸入和/或提供密碼、個人標識號和/或密鑰后能夠被預(yù)先給定和/或改變��。24.按照權(quán)利要求20至23之一所述的系統(tǒng)��,所述系統(tǒng)附加地具有: C)控制設(shè)備(4)����,其具有 Cl)用于產(chǎn)生隨機值的裝置(41); C2)參考值產(chǎn)生單元(42),所述參考值產(chǎn)生單元(42)被構(gòu)造用于通過對隨機值應(yīng)用存儲在參考值產(chǎn)生單元(42)的存儲器中的計算準則來產(chǎn)生至少一個與隨機值相符合的參考值�; C3)用于存儲所產(chǎn)生的參考值的存儲單元(42a); C4)用于發(fā)送至少一個隨機值的發(fā)送單元(43a); C5)用于接收至少一個應(yīng)答值的接收單元(43b); C6)用于將在參考值存儲器(42a)中所存儲的參考值與至少一個由接收單元(43b)所接收的應(yīng)答值比較的比較單元(45 );和 C7)用于如果至少一個所接收的應(yīng)答值與所存儲的參考值一致,那么釋放對控制設(shè)備(4 )的外部訪問����、尤其控制設(shè)備(4 )的至少一個功能的釋放單元(46 )。25.按照權(quán)利要求24所述的系統(tǒng)����,其具有與權(quán)限檢驗裝置(82)在空間上分開的遠程控制裝置(5)���,所述遠程控制裝置(5)具有至少一個用于將數(shù)據(jù)傳輸給控制設(shè)備(4)的發(fā)送單元(51)和用于從控制設(shè)備(4)接收數(shù)據(jù)的接收單元(51)和/或用于將數(shù)據(jù)傳輸給尤其與所述遠程控制裝置(5)在空間上分開的權(quán)限檢驗裝置(82)和/或鑒權(quán)裝置(83a��、83b��、83c)的發(fā)送和接收單元����。
【文檔編號】H04W12/06GK105900394SQ201480072520
【公開日】2016年8月24日
【申請日】2014年12月22日
【發(fā)明人】H.鮑爾, D.巴塔查爾亞, S.蘇布拉馬尼安尼拉坎坦
【申請人】羅伯特·博世有限公司