用于解锁车辆部件的装置和方法、车辆与车辆通信模块与流程

本发明涉及一种用于解锁车辆部件的装置、方法和计算机程序以及车辆与车辆通信模块(fahrzeug-zu-fahrzeug-kommunikationsmodul)，更准确地说、但是不仅仅涉及基于已经通过车辆部件的安全互连解锁的第二车辆部件对第一车辆部件的解锁。

背景技术：

车辆包括多个不同的车辆部件，从驱动模块、例如变速箱和发动机到通信模块、例如车辆与车辆通信接口或者移动无线电接口直到舒适功能、例如座椅加热。为了防止车辆部件被盗并且确保车辆部件仅在制造商或者工厂将车辆部件置入的车辆中使用，可能希望将车辆部件与车辆耦合并且仅在车辆部件位于正确的车辆中时解锁车辆部件供使用。

欧洲专利申请ep3148152a1示出了一种用于安全地分发车辆的控制设备的密码密钥的方法。欧洲专利申请ep3157281a1示出了一种同样基于密钥对的产生和分发的、用于车辆的受保护的通信的方法。

需要一种用于解锁车辆部件的使用的改进的设计。

技术实现要素：

本发明的装置、方法和计算机程序以及车辆与车辆通信模块考虑这种需要。

实施例实现用于解锁车辆的车辆部件的装置、方法和计算机程序以及车辆与车辆通信模块。下面，解锁涉及解锁的车辆部件能够在车辆的正常运行中使用。在解锁车辆部件之前，例如可以对解锁车辆部件所需的车辆部件或者功能进行诊断。车辆部件的完整功能范围、例如在车辆与车辆通信模块的情况下为发送和接收车辆与车辆通信信号，例如在车辆部件解锁之后才能够使用。

在至少一些实施例中，解锁基于先前进行的解锁的传递性使用：如果已知其它车辆部件的安全互连、例如车辆防盗锁互连或者防盗保护装置互连在车辆中解锁，则也可以使用该信息来解锁其它车辆部件。其前提条件可以是与互连中的车辆部件进行通信，其中，这种情况下的通信已经可以是通过车辆的总线接收或者感知车辆部件的消息。根据该消息例如可以确定互连已解锁(也就是说，互连的安全功能例如确定没有安全互连的车辆部件受到损害)并且可以确定从其接收消息的车辆部件的合法性(例如通过密码方法或者通过对消息的可信度测试)。如果满足这两个标准，则可以解锁要解锁的车辆部件。

实施例实现了一种用于解锁车辆的第一车辆部件的装置。所述装置包括至少一个接口，其被构造为用于与车辆的第二车辆部件进行通信。第二车辆部件是车辆的车辆部件的安全互连、例如车辆的车辆防盗锁互连(wegfahrsperrenverbund)或者车辆的防盗保护装置互连(diebstahlschutzverbund)的一部分。所述装置还包括控制模块，其被构造为用于控制至少一个接口。控制模块还被构造为，通过至少一个接口从第二车辆部件接收至少一个消息。控制模块还被构造为，基于从第二车辆部件接收到的至少一个消息确认第二车辆部件的合法性。控制模块还被构造为，如果接收到的至少一个消息暗示第二车辆部件已经基于车辆部件的安全互连被解锁，并且如果对第二车辆部件的合法性确认成功，则解锁第一车辆部件。

第二车辆部件已经通过安全互连被解锁的知识的使用，使得由此实现的安全性也能够(传递性地)用于其它车辆部件、例如第一车辆部件。同时，在至少一些实施例中，第一车辆部件不是安全互连的一部分，由此，在第一车辆部件发生故障的情况下，安全互连不会瘫痪。此时，通过确认第二车辆部件的合法性，可以检查第二车辆部件是a)安全互连的车辆部件，并且b)该车辆部件是“正确的”车辆的安全互连的一部分。

在至少一些实施例中，控制模块被构造为基于请求-应答认证方法(英语challenge-response)确认第二车辆部件的合法性。在此，可以比较针对两个车辆部件计算的、由共同的秘密(例如密码密钥)推导出的值，以相对于第一车辆部件确认第二车辆部件的合法性。此外，例如仅用于合法性确认的消息可以包括推导出的值，例如可以避免对所有消息进行密码签名或者加密。

在一些实施例中，控制模块可以被构造为通过对至少一个消息的内容进行可信度测试来确认第二车辆部件的合法性。因此，例如可以确认第二车辆部件的合法性，而不需要使用密码安全的消息。

在至少一些实施例中，控制模块被构造为基于来自第二车辆部件的密码保护的消息确认第二车辆部件的合法性。这例如使得能够借助经过证明的密码方法来确认第二车辆部件的合法性。

例如，可以对密码保护的消息以密码的方式进行签名。替换地或者附加地，可以对密码保护的消息以密码的方式进行加密。通过检查签名或者通过基于至少一个预先已知的密钥对消息进行解密，例如可以确定或者验证进行通信的车辆部件的身份，由此确认第二车辆部件的合法性。替换地或者附加地，密码保护的消息可以包括基于密码密钥计算的值。因此，例如车辆的车辆部件的全部或者互连可以包括相同的密钥。如果其根据该密钥和随机数计算了一个值，则具有相同的密钥的另一个车辆部件可以借助随机数验证该值，由此可以确定车辆部件对于同一个车辆或者车辆的同一个互连的归属性。在此，随机数例如可以由从另一个车辆部件(“源”，例如第二车辆部件)请求计算的值的车辆部件(“汇点(senke)”，例如第一车辆部件)提供，以验证该另一个车辆部件的身份(请求-应答方法，英语challenge-response)，或者随机数可以由独立的第三方(“值得信赖的”)实例提供或者由其推导。

在一些实施例中，控制模块可以被构造为存储关于先前接收到的来自第二车辆部件的密码保护的消息的密码信息。替换地，控制模块可以被构造为在安装所述装置、第一车辆部件或者第二车辆部件时，获得密码信息。密码信息例如可以包括关于至少由第二车辆部件使用的密码密钥的信息。控制模块可以被构造为，如果在解锁车辆部件之前的预先定义的时间间隔内通过至少一个接口接收到的密码保护的消息与所存储的密码信息一致，则确认第二车辆部件的合法性。因此，可以将来自第二车辆部件的消息与密码信息进行比较，以确认第二车辆部件的合法性。密码信息例如可以包括车辆或者互连的密钥，或者对于两个车辆部件之间的每一次通信可以包括一个(共同的)密钥。也可以想到具有私钥和公钥的系统，其中，密码信息可以包括多个另外的车辆部件的公钥。

在一些实施例中，从第二车辆部件接收到至少一个消息可以暗示已经基于车辆部件的安全互连解锁了第二车辆部件。例如第二车辆部件可以被构造为当其已经通过安全互连解锁时，才能够进行通信。由此，消息的接收可以被评估为第二车辆部件已经被解锁的证明。因此，在一些实施例中，可以避免用于确认第二车辆部件的合法性的双向通信。

在至少一些实施例中，如果接收到的至少一个消息暗示第二车辆部件具有预先定义的状态，则接收到的至少一个消息暗示已经基于车辆部件的安全互连解锁了第二车辆部件。例如接收到的消息可以包括关于第二车辆部件处于解锁状态、还是未解锁状态的信息。替换地或者附加地，接收到的消息可以包括关于安全互连是否完整的信息。在一些实施例中，如果接收到的至少一个消息暗示通过第二车辆部件执行预先定义的动作，则接收到的至少一个消息可以暗示已经基于车辆部件的安全互连解锁了第二车辆部件。例如，接收到的消息可以包括关于在正常运行中通过第二车辆部件执行的动作的信息、例如测量值或者指向第二车辆部件的正常运行的消息。

在至少一些实施例中，车辆部件不是车辆部件的安全互连的一部分。例如，安全互连可以在不涉及车辆部件或者所述装置的情况下解锁第二车辆部件。这可以降低安全互连的复杂性。同时，例如可以防止第一车辆部件发生故障使安全互连瘫痪。

在一些实施例中，车辆部件的安全互连可以包括至少一个另外的根据本发明的装置。所述装置可以与车辆部件的安全互连一起形成车辆部件的另一个安全互连。因此，第二车辆部件的解锁例如可以传递性地进行。例如，第二车辆部件可以基于安全互连、例如车辆防盗锁互连来解锁。所述装置可以使用该信息来释放第一车辆部件。(具有所述装置的)第一车辆部件可以与原始安全互连一起形成车辆部件的另一个安全互连。因此，例如可以使用第一车辆部件的释放来释放(具有另一个根据前面的实施例中的一个的装置)的第三车辆部件。换句话说，基于第二车辆部件的第一车辆部件的释放可以传递到第三车辆部件。

在一些实施例中，第一车辆部件的解锁所基于的至少一个消息可以是用于第一车辆部件的正常运行或者第二车辆部件的正常运行的至少一个消息。第一车辆部件的解锁所基于的至少一个消息可以是不仅仅为了解锁第一车辆部件而通过至少一个接口接收的或者不仅仅为了解锁第一车辆部件而由第二车辆部件发送的至少一个消息。总归由第二车辆部件发送的消息的使用可以使为了第一车辆部件的解锁的双向通信成为多余。

实施例还实现一种车辆与车辆通信模块，其具有根据实施例所述的装置。车辆与车辆通信模块可以是第一车辆部件。车辆与车辆通信模块的车辆与车辆通信可以基于车辆与车辆通信模块的解锁。因此，在一些实施例中，可以防止车辆与车辆通信模块在车辆外部运行。

实施例还涉及一种用于解锁车辆的第一车辆部件的方法。所述方法包括从第二车辆部件接收至少一个消息。第二车辆部件是车辆的车辆部件的安全互连的一部分。所述方法还包括基于从第二车辆部件接收到的至少一个消息确认第二车辆部件的合法性。所述方法还包括：如果接收到的至少一个消息暗示第二车辆部件已经基于车辆部件的安全互连被解锁，并且如果对第二车辆部件的合法性确认成功，则解锁第一车辆部件。

第二车辆部件已经通过安全互连被解锁的知识的使用，使得由此实现的安全性也能够(传递性地)用于其它车辆部件、例如第一车辆部件。同时，在至少一些实施例中，第一车辆部件不是安全互连的一部分，由此，在第一车辆部件发生故障的情况下，安全互连不会瘫痪。此时，通过确认第二车辆部件的合法性，可以检查第二车辆部件是a)安全互连的车辆部件，并且b)该车辆部件是“正确的”车辆的安全互连的一部分。

实施例还实现一种具有程序代码的程序，所述程序代码用于当在计算机、处理器、控制模块或者可编程的硬件部件上执行所述程序代码时执行所述方法。

附图说明

下面，借助在附图中示出的实施例详细描述其它有利设计方案，然而，总体上一般不局限于这些实施例。附图中：

图1示出了用于解锁车辆部件的装置的框图；

图2示出了用于解锁车辆部件的方法的流程图；

图3a-3e示出了可扩展的互连认证的实施例。

具体实施方式

现在，参考示出了一些实施例的附图详细描述不同的实施例。在附图中，为了清楚起见，可能以夸张的方式示出线、层和/或区域的厚度尺寸。

在下面对仅示出一些示例性实施例的附图的描述中，相同的附图标记可能表示相同或者类似的部件。此外，可能针对在实施例中或者在附图中多次出现、但是共同描述其一个或多个特征的部件和对象使用概括性的附图标记。利用相同或者概括性的附图标记描述的部件或者对象可以在单个、多个或者所有特征、例如其尺寸方面相同地实施，但是在需要时也可以不同地实施，除非从说明书中另外明确或者暗示地得到。

虽然可以以不同的方式对实施例进行变形和改变，但是在附图中作为示例示出实施例并且在这里详细进行描述。然而，应当澄清，不旨在将实施例局限于相应地公开的形式，相反，实施例应当覆盖处于本发明的范围内的所有功能和/或结构上的变形方案、等同方案和替换方案。相同的附图标记在整个附图描述中表示相同或者类似的元素。

应当注意，称为与另一个元件“连接”或者“耦合”的元件，可能与另一个元件直接连接或耦合，或者可能存在位于其之间的元件。相反，当将元件称为与另一个元件“直接连接”或者“直接耦合”时，不存在位于其之间的元件。用于描述元件之间的关系的其它术语应当以类似的方式解释(例如“之间”相对于“直接在其之间”、“相邻”相对于“直接相邻”等)。

这里使用的术语仅仅用于描述特定实施例，而不应当限制这些实施例。只要上下文未明确地另外给出，则如这里所使用的，单数形式“一个”、“一”和“该”应当也包含复数形式。此外，应当澄清，例如“被包含”、“包含”、“具有”、“被包括”、“包括”和/或“含有”的表述，如这里所使用的，给出了提及的特征、整数、步骤、工作流程、元件和/或部件的存在，但是不从其排除一个或多个特征、整数、步骤、工作流程、元件、部件和/或组的存在或者附加。

只要未另外定义，这里使用的全部术语(包括技术和科学术语)具有实施例所属领域的普通技术人员赋予其的相同的含义。此外，应当澄清，只要这里未明确定义，则例如在一般使用的词典中定义的表述应当被解释为，其具有与其在相关技术的情境中的含义一致的含义，而不应当以理想化或者过于形式化的意义解释。

至少一些实施例在车辆中(或者更一般地，在分布式系统中)实现了传递性地并且定量可扩展的互连认证。

在一个示例性实施例中，不允许使用car2car(车辆与车辆)控制设备(其例如可以用于数字屋顶天线)在车辆外部发送c2c消息。发送的许可例如可以以能够以组合的方式实现特性的信任的定性和定量提高的、车辆状态的不同特性为前提条件。在车辆外部进行发送的其它一些功能例如也可能要求(仅)真正的车辆进行发送。这种设计例如可以转用于车辆中的应当不能在车辆外部使用的其它控制设备，这种设计不限于car2car控制设备。

在一些系统中，可以通过车辆总线检查车辆识别码(英语vehicleidentificationnumber,vin)，来确定控制设备是否处于特定车辆中。替换地或者附加地，对应的控制设备可以绑定在车辆防盗锁互连中和/或部件保护装置(防止部件被盗的保护装置)中。在此，这些绑定可以是直接仅设置为用于确定控制设备对车辆的归属性的功能、即附加功能。绑定可以与单独的功能一起用于确定车辆是否处于经过认证的互连中(通常为主/从(英语master/slave)系统)。可以注意到，检查vin在技术上在一些情况下可能是不充分的，因为攻击者可能操控vin(也借自英语“spoofen”)。在控制设备绑定在车辆防盗锁互连中的情况下，例如可能存在车辆在控制设备出现问题时可能瘫痪的风险，其中，从防盗保护的角度来看，控制设备与车辆防盗锁的释放实际上无关。此外，在绑定时，可能集成附加的功能，而在功能上不用于控制设备，由此产生开销(附加的管理开销)。此外，可能难以进行扩展，因为这些绑定通常是主/从系统，也就是说，控制设备例如可能仅确定了另一个控制设备的存在。

图1示出了用于解锁车辆100的第一车辆部件20的装置10的框图。装置10包括至少一个接口12，其被构造为用于与车辆100的第二车辆部件50进行通信。第二车辆部件50是车辆100的车辆部件的安全互连的一部分。装置10还包括控制模块14，其被构造为用于控制至少一个接口12。控制模块14还被构造为，通过至少一个接口12从第二车辆部件50接收至少一个消息。控制模块14还被构造为，基于从第二车辆部件50接收到的至少一个消息确认第二车辆部件50的合法性。控制模块14还被构造为，如果接收到的至少一个消息暗示第二车辆部件50已经基于车辆部件的安全互连被解锁，并且如果对第二车辆部件50的合法性确认成功，则解锁第一车辆部件20。

图1还示出了包括装置10的第一车辆部件20以及包括具有装置10的第一车辆部件20和第二车辆部件50的车辆100。至少一个接口12与控制模块14耦合。

图2示出了对应的用于解锁车辆100的第一车辆部件20的方法。所述方法包括从第二车辆部件50接收110至少一个消息。第二车辆部件50是车辆100的车辆部件的安全互连的一部分。所述方法还包括基于从第二车辆部件50接收到的至少一个消息确认第二车辆部件50的合法性120。所述方法还包括：如果接收到的至少一个消息暗示第二车辆部件50已经基于车辆部件的安全互连被解锁，并且如果对第二车辆部件50的合法性确认成功，则解锁130第一车辆部件20。下面的描述不仅涉及图1的装置10，而且涉及图2的方法。

在至少一些实施例中，解锁车辆部件表示释放或者激活车辆部件的正常运行和/或解锁车辆部件的使用。在解锁车辆部件之前，例如可以对解锁车辆部件所需的车辆部件或者功能进行诊断。通过解锁车辆部件，可以释放车辆部件全部功能范围。解锁第一车辆部件例如可以激活车辆部件在正常运行中的使用。例如，当检查得出车辆部件处于其被设置的车辆中时，可以解锁车辆部件(例如第一车辆部件、第二车辆部件或者车辆部件的安全互连中的车辆部件)。

第一车辆部件、第二车辆部件和/或安全互连中的车辆部件例如可以是被构造为在车辆内部与其它车辆部件、例如车辆的控制设备、执行器、传感器、控制模块进行通信的车辆的部件。在一个示例性实施例中，第一车辆部件例如可以是车辆与车辆通信模块。第一车辆部件、第二车辆部件和/或安全互连中的车辆部件例如可以被构造为通过车辆总线、例如控制器局域网总线(英语controllerareanetworkbus,canbus)或者本地互联网(英语localinterconnectnetwork,lin)(相互)进行通信。

在至少一些实施例中，车辆100例如可以对应于陆地车辆、船只、飞机、轨道车辆、公路车辆、汽车、越野车辆、机动车辆或卡车。

至少一个接口12例如可以对应于用于基于代码、例如以数字位值在模块内部、在模块之间或者在不同实体的模块之间传输和/或接收信息的一个或多个输入端和/或一个或多个输出端。至少一个接口12例如可以被构造为，通过控制器局域网总线或者本地互连网络与第二车辆部件50进行通信。

在至少一些实施例中，与第二车辆部件50的通信可以是双向通信。至少一个接口12例如可以被构造为向第二车辆部件传输消息并且从第二车辆部件接收消息。例如控制模块14可以被构造为，通过向第二车辆部件传送消息并且从第二车辆部件接收应答执行挑战-响应方法。

替换地，与第二车辆部件50的通信可以是单向通信。通信例如可以(仅)包括由第二车辆部件传送并且由至少一个接口接收的消息。至少一个接口12例如可以被构造为，接收或者侦听第二车辆部件通过控制器局域网总线或者通过本地互连网络传输的消息，而这些消息不明确寻址到第一车辆部件20或者装置10。在至少一些实施例中，至少一个接口12可以被构造为从第二车辆部件50接收消息。

在至少一些实施例中，车辆部件的安全互连可以包括多个车辆部件，这些车辆部件相互连结，使得该多个车辆部件中的一个车辆部件的受损阻止安全互连的该多个部件中的其它车辆部件的解锁。安全互连的车辆部件例如可以相互确保安全互连的车辆部件未受损或者不受损。在至少一些实施例中，第一车辆部件20不是车辆部件的安全互连的一部分。在至少一些实施例中，第一车辆部件20的故障不阻止安全互连的车辆部件的解锁。在一些实施例中，安全互连的车辆部件可以针对操控，例如针对取出或替换安全互连的车辆部件或者在分配了安全互连的车辆部件的车辆外部使用安全互连的车辆部件，相互进行保护。在一些实施例中，安全互连还可以基于车辆的驾驶员的动作，例如基于发动机启动的触发或者基于车钥匙的插入或旋转。在一些实施例中，安全互连还可以包括车辆的车钥匙，安全互连的车辆部件的释放可以基于车钥匙提供释放信号。术语“确保”、“保护”和“阻止”在此不应当在绝对意义上理解；提供虽然不是百分之百、但是足够高的保护的措施也落在术语“确保”、“保护”和“阻止”的范围内，从而安全互连也可以是在例外情况下可以中断的互连。安全互连可以在不涉及车辆部件20或装置10的情况下解锁第二车辆部件。

在一些实施例中，安全互连可以是车辆的车辆防盗锁互连。车辆防盗锁互连例如可以包括车辆100的车辆防盗锁的完整性所基于的车辆100的车辆部件。车辆防盗锁互连例如可以包括车辆的车钥匙。在一些实施例中，如果车辆防盗锁互连的车辆部件是完整的(即未受损、未被操控)并且车钥匙提供(正确的)释放信号，则可以解锁车辆防盗锁互连的车辆部件。

在至少一些实施例中，安全互连可以是车辆的防盗保护装置互连。在防盗保护装置互连中，例如车辆的车辆部件可以针对远离车辆相互进行保护。在防盗保护装置互连的车辆部件远离之后，例如可以阻止远离的车辆部件在其它车辆中的运行。防盗保护装置互连的部件中的一个的远离例如可以触发警报。替换地或者附加地，车辆的防盗保护装置互连可以是被构造为用于使整个车辆被盗变难或者阻止整个车辆被盗的车辆的车辆部件的互连。车辆的防盗保护装置互连例如可以包括车辆的警报部件、车辆的关闭部件、车辆的密钥部件和车辆的定位部件的组中的一个或多个元素。

在实施例中，控制模块14可以对应于任意的控制器或者处理器或者可编程的硬件部件。例如，控制模块14也可以作为针对对应的硬件部件编程的软件来实现。就此而言，控制模块14可以作为具有对应地匹配的软件的可编程的硬件来实现。在此，可以使用任意的处理器、例如数字信号处理器(dsp)。实施例在此不局限于特定类型的处理器。可以想到任意的处理器或者多个处理器来实现控制模块14。

在至少一些实施例中，从第二车辆部件接收至少一个消息包括通过总线系统或者通过对等网络系统(来自英语peer，“同等的”、“等同的”)接收至少一个消息。至少一个消息例如可以寻址到第一车辆部件20或者装置10。替换地，控制模块14可以被构造为借助车辆总线通过至少一个接口12进行侦听，并且即使至少一个消息没有指定专门的接收方或者指定了另外的接收方，也接收该至少一个消息。第一车辆部件20的解锁所基于的至少一个消息例如可以是用于第一车辆部件20的正常运行或者第二车辆部件50的正常运行的至少一个消息。换句话说，第一车辆部件20的解锁所基于的至少一个消息可以是不仅仅为了解锁车辆部件20而通过至少一个接口12接收的或者不仅仅为了解锁第一车辆部件而从第二车辆部件50发送的至少一个消息。在一些实施例中，控制模块14可以被构造为例如作为请求-应答认证方法的一部分，作为对到第二通信模块的询问/请求的应答接收至少一个消息。

在至少一些实施例中，控制模块14对第二车辆部件50的合法性的成功确认意味着或者暗示控制模块14信任第二车辆部件50。50的合法性的成功确认可以意味着或者暗示控制模块14足够安全、第二车辆部件50是安全互连的一部分、针对车辆100设置了安全互连和/或针对安全互连设置了第二车辆部件50。在这种情境下，术语“设置”可以意味着或者暗示例如车辆的制造商或者制造商的工厂将安全互连与车辆(以密码的方式)耦合(在口语中也称为“加密连接(verdongelt)”)和/或将第二车辆部件50与安全互连的其它车辆部件(以密码的方式)耦合/加密连接。通过确认第二车辆部件50的合法性，控制模块14可以检查其接收的至少一个消息是否是作为安全互连的一部分的第二车辆部件50的消息。确认第二车辆部件50的合法性例如可以包括确定和/或识别第二车辆部件50的身份和/或检查第二车辆部件50对安全互连的归属性。

例如控制模块14可以被构造为基于从第二车辆部件50接收到的至少一个消息推断第二车辆部件50的合法性。在一些实施例中，控制模块14可以被构造为仅基于接收到的一个(单个)消息确定第二车辆部件的合法性。在一些实施例中，控制模块14可以被构造为，在接收第二车辆部件的合法性确认所基于的至少一个消息之前，不向第二车辆部件传送消息。替换地，至少一个消息可以是对控制模块14向第二车辆部件50传送的询问或者请求的应答。

例如，控制模块14可以被构造为，基于请求-应答认证方法(英语challenge-response)确认第二车辆部件50的合法性。例如控制模块14可以被构造为向第二车辆部件传送(请求-应答认证方法的)请求或者询问，并且来自第二车辆部件50的至少一个消息可以是对该请求或者询问的应答。在一些实施例中，控制模块14和第二车辆部件50可以包括共同的秘密、例如共同的密码密钥。控制模块14可以被构造为请求第二车辆部件基于随机数或随机字符序列并且基于共同的秘密计算值。控制模块14可以被构造为例如与请求一起向第二车辆部件50传送该随机数或随机字符序列。控制模块14可以被构造为从第二车辆部件接收包含在至少一个消息中的由第二车辆部件50计算的值。控制模块14可以被构造为基于该随机数或随机字符序列并且基于共同的秘密自己计算值，并且将自己计算的值与由第二车辆部件50计算的值进行比较，以确认第二车辆部件的合法性。例如，控制模块14可以针对每一个另外的要确认合法性的车辆部件包括共同的秘密。替换地，共同的秘密可以对于车辆的所有车辆部件相同。共同的秘密例如可以在制造车辆时或者在安装车辆部件时由工厂设置。

替换地或者附加地，密码保护的消息可以包括基于密码密钥计算的值(其可以与在请求-应答认证方法中类似地实现)。在至少一些实施例中，控制模块14和第二车辆部件50包括密码秘钥形式的共同的秘密。在一些实施例中，车辆的所有车辆部件或者车辆部件的互连可以包括相同的密钥。控制模块14可以被构造为从第二车辆部件50接收基于密码秘钥和随机数或随机字符序列计算的值。在一些实施例中，控制模块14可以被构造为作为至少一个消息的一部分从第二车辆部件50接收随机数或随机字符序列。在此，随机数例如可以由对于第二车辆部件50和/或第一车辆部件为第三方(“值得信任的”)实例提供。替换地或者附加地，控制模块14可以被构造为由种子值(seed-wert，初始值的英语)推导出随机数或随机字符序列。种子值例如可以基于时间值来计算(其例如可以由值得信任的第三方实例提供)，并且给出随机数或随机字符序列的计算的出发点。控制模块14可以被构造为将从第二车辆部件50接收到的值与自己计算的值进行比较，以确认第二车辆部件50的合法性。

在至少一些实施例中，控制模块14可以被构造为基于来自第二车辆部件50的密码保护的消息确认第二车辆部件50的合法性。例如可以以密码的方式对密码保护的消息进行签名。替换地或者附加地，可以以密码的方式对密码保护的消息进行加密。例如控制模块14可以被构造为检查接收到的至少一个消息的签名和/或对接收到的至少一个消息进行解密，以确认第二车辆部件50的合法性。如果接收到的至少一个消息的签名或者加密对应于控制模块14的预期，则第二车辆部件的合法性确认成功。

在至少一些实施例中，控制模块14可以被构造为存储关于先前接收到的来自第二车辆部件50的密码保护的消息的密码信息。替换地，控制模块14可以被构造为在制造车辆时或者在更换第一车辆部件或者第二车辆部件时，例如在安装所述装置、第一车辆部件或者第二车辆部件时，获得密码信息。密码信息例如可以包括关于由第二车辆部件50使用的密钥的信息。控制模块14可以被构造为，如果在解锁车辆部件之前的预先定义的时间间隔内通过至少一个接口12接收到的密码保护的消息与所存储的密码信息一致，则确认第二车辆部件50的合法性。如果从密码信息中得到了与密码保护的消息的一致性，即例如基于字符串比较或者通过根据身份和/或所存储的密码信息计算值，则密码保护的消息可以与所存储的识别数据一致。例如，如果签名或者密钥或者密钥部分例如作为哈希值(分散值)或者(密码)签名或者密码密钥包含在所存储的密码信息中，则密码保护的消息可以与所存储的密码信息一致。替换地或者附加地，例如，如果(推导出的)身份和所存储的密码信息可以通过得出密码保护的消息和所存储的密码信息是否一致的数学函数连结，则密码保护的消息可以与所存储的密码信息一致。例如控制模块14可以被构造为将签名或者加密与密码信息进行比较，以确定签名或者加密是否与密码信息兼容。如果其兼容，则控制模块14例如可以成功确认第二车辆部件的合法性。替换地或者附加地，控制模块14可以被构造为基于密码信息计算值，并且将该值与从第二车辆部件接收到的值进行比较。如果值一致，则控制模块14例如可以成功确认第二车辆部件的合法性。

替换地或者附加地，控制模块14可以被构造为通过对至少一个消息的内容进行可信度测试来确认第二车辆部件50的合法性。例如控制模块14可以被构造为例如基于消息的编号，检查从第二车辆部件接收到的消息是否具有处于预期的范围内的内容，或者从第二车辆部件接收到的消息是否具有仅在容差范围内与先前从车辆部件50接收到的消息的内容不同的内容。控制模块14可以被构造为确保通过至少一个消息应当呈现的所有数据都存在并且是可信的。在此，可以实现可信度测试，使得其不能以微小的开销绕过或伪造。

在至少一些实施例中，解锁第一车辆部件包括激活或者开始第一车辆部件的正常运行。例如控制模块14可以被构造为将第一车辆部件20的状态改变为“正常运行”。第一车辆部件的正常运行例如可以是第一车辆部件的功能齐备的状态。例如第一车辆部件可以在进行第一车辆部件的可以包括第一车辆部件的解锁的初始化之后采取正常运行。

在至少一些实施例中，从第二车辆部件50接收到至少一个消息已经可以暗示已经基于车辆部件的安全互连解锁了第二车辆部件50。例如，如果第二车辆部件50(第一次/仅)在其基于车辆部件的安全互连成功解锁之后向第一车辆部件20或者装置10传送了至少一个消息，则可以是这种情况。替换地或者附加地，如果至少一个消息包括预先定义的信息，例如关于第二车辆部件50具有预先定义的状态或者通过第二车辆部件50执行预先定义的动作的信息，则至少一个消息可以暗示第二车辆部件50已经基于车辆部件的安全互连被解锁。如果接收到的至少一个消息暗示第二车辆部件50具有预先定义的状态、例如正常运行状态或者解锁状态，则例如接收到的至少一个消息可以暗示第二车辆部件50已经基于车辆部件的安全互连被解锁。替换地或者附加地，如果接收到的至少一个消息暗示通过第二车辆部件50执行预先定义的动作、例如执行车辆的驱动部件的启动序列，则接收到的至少一个消息可以暗示第二车辆部件50已经基于车辆部件的安全互连被解锁。

在至少一些实施例中，车辆部件的安全互连可以包括至少一个另外的根据前面的实施例中的一个的用于解锁车辆部件的装置。例如第二车辆部件50可以包括该另外的装置。第二车辆部件50的该装置例如可以被构造为基于车辆部件的另一个安全互连(通过确认该另一个安全互连中的另一个车辆部件的合法性并且通过该另一个安全互连解锁该另一个车辆部件)解锁第二车辆部件。第二车辆部件和该另一个安全互连可以形成第一车辆部件的解锁所基于的安全互连或者包含在该安全互连中。装置10(或者具有装置10的第一车辆部件20)可以与车辆部件的安全互连一起形成可以传递性地用于第三车辆部件的解锁的车辆部件的另一个安全互连。

在一些实施例中，至少一个接口12还可以被构造为与第三车辆部件进行通信。第三车辆部件例如可以是车辆的车辆部件的另一个安全互连的一部分。控制模块14可以被构造为通过至少一个接口从第三车辆部件接收至少一个另外的消息。控制模块14可以被构造为基于从第三车辆部件接收到的至少一个另外的消息对第三车辆部件进行合法性确认。控制模块14可以被构造为，如果接收到的至少一个另外的消息暗示第三车辆部件已经基于车辆部件的另一个安全互连被解锁，并且如果对第三车辆部件的合法性确认成功，则解锁第一车辆部件。这可以作为基于第二车辆部件的解锁的替换或者累积进行。在替换情况下，控制模块14可以被构造为，如果接收到的至少一个消息暗示第二车辆部件已经基于车辆部件的安全互连被解锁并且如果对第二车辆部件的合法性确认成功，或者如果接收到的至少一个另外的消息暗示第三车辆部件已经基于车辆部件的另一个安全互连被解锁并且如果对第三车辆部件的合法性确认成功，则解锁第一车辆部件。在累积情况下，控制模块14可以被构造为，如果接收到的至少一个消息暗示第二车辆部件已经基于车辆部件的安全互连被解锁，并且如果对第二车辆部件的合法性确认成功，并且如果接收到的至少一个另外的消息暗示第三车辆部件已经基于车辆部件的另一个安全互连被解锁，并且如果对第三车辆部件的合法性确认成功，则解锁第一车辆部件。

在一个示例性实施例中，车辆与车辆通信模块20包括装置10。在该实施例中，车辆与车辆通信模块20是第一车辆部件20。车辆与车辆通信模块20的车辆与车辆通信可以基于车辆与车辆通信模块的解锁。例如车辆与车辆通信模块可以被构造为，当车辆与车辆通信被解锁时，才通过车辆与车辆通信进行通信。解锁例如可以通过在车辆与车辆通信模块的正常运行中使用的消息进行。如果例如定位模块属于安全互连(例如作为第二车辆部件)，则至少一个消息可以使用定位模块的定位数据，如果定位模块发送数据，则定位模块的解锁由此可以通过至少一个消息触发车辆与车辆通信模块的解锁。

结合前面或者稍后描述的设计或示例提到了装置10和/或所述方法的更多细节和方面。装置10和/或所述方法可以包括一个或多个附加的可选特征，这些可选特征对应于前面或者后面描述的、所提出的设计或者所描述的示例中的一个或多个方面。

在下面的示例中，实施例涉及车辆与车辆控制设备(车辆与车辆通信模块)。其可以对应于结合图1和图2描述的第一车辆部件。下面的实施例也可以应用于其它车辆部件，而不局限于车辆与车辆控制设备。一般地说，设计也可以应用于具有多个部件的其它系统、例如(计算单元)对计算单元的分布式互连的归属。

在至少一些示例中，car2car(车辆与车辆)控制设备可以(或者必须)在其标准功能(例如其正常运行)的范围内从其它不同的控制设备接收数据(例如速度、转向角、gps位置等)。这些数据可以(或者应当)以可靠的方式、即以密码操控保护的方式传输。这尤其是可以由于其它原因而是需要的，例如为了避免安全问题。所传输的数据例如可以对应于至少一个消息。

car2car控制设备根据其在其正常功能通信的过程中接收到了密码保护的信息的事实，已经例如可以确定在通信互连中存在属于车辆的其它控制设备。控制设备中的至少一些例如可以形成图1和图2的安全互连。攻击者必须扩大到其全部并且投入运行，以便使控制设备在车辆外部也能够工作。这种方法可以是定性地可扩展的，方式是必须可靠地通知车辆的附加动作(例如端子切换、wfs认证等)。其可以是传递性地可扩展的，方式是必须执行在其方面以密码方式保护的动作链。由此，在至少一些示例中，决定进行发送的前提条件可以与对置信水平的要求对应地进行扩展。

在至少一些实施例中，不需要用于确定互连归属性的单独的功能，其例如可以基于车辆与车辆控制设备在正常运行中接收到的消息。可能的开销可以减少或者最小化，因为操控保护可以涉及已经存在的通信，并且在一些实施例中不需要引入仅用于进行互连认证的额外的消息。在至少一些实施例中，系统扩展到任意多个控制设备。car2car控制设备从越多的其它的控制设备获得受保护的功能数据，则其本身可以越安全地真正处于车辆中。此外，也可以通过其它控制设备和状态给出内容扩展性。可以通过使用来自不同的发送方的更多消息给出密码扩展性，在一些实施例中，必须对来自不同的发送方的更多消息进行认证，为了绕过安全性(保护)，必须对其进行伪造。

此外，可以使用传递性。如果其它控制设备(车辆部件)具有确保其在车辆中的使用的其它特性，则这可以传递性地转达。如果例如控制设备是(密码保护的)车辆防盗锁互连(例如安全互连)的一部分，并且一旦其(例如已基于安全互连解锁)确定了其自己的互连归属性，才开始发送功能数据，则该特性可以自动一起转移到car2car控制设备(例如变速箱对bcm(英语bodycontrolmodule，车身控制模块，车辆中的中央控制模块)进行认证，并且可以在经过认证之后才向car2car控制设备进行发送->由此car2car控制设备可以知道bcm是可靠的，而不需要自己与其进行会话)。

执行器、在该示例中为c2c控制设备中的发送模块(总是)可以将其关于发送的决定与要检查的释放状态耦合。例如(仅)当执行了一定的真伪动作时，即当可以在执行器控制设备中证实密码认证的消息(例如至少一个消息)时，才达到该状态。可以选择这些动作，以便由此扩展释放的置信水平。

car2car控制设备例如可以从特别难以从车辆中取出的控制设备、例如变速箱或者发动机接收操控保护的数据。此外，已经绑定在其它认证互连中(例如安全互连中)的控制设备是合适的。此外，控制设备的数量可以尽可能大。此外，车辆内部的密码密钥可以具有足够的传播度(例如大的汉明距离(hamming-distanz))，从而car2car控制设备可以为每一个数据唯一地分配其来自哪个控制设备(例如以对第二车辆部件进行合法性确认)。在一些示例中，当检查了所有这些数据或消息是可信的时，才能够针对动作给出释放，在这种情况下为c2c消息的发送。

可以、但是不是必须对数据进行密码保护。car2car控制设备可以被构造为确保所有应当呈现的数据都存在并且是可信的。在此，可以实现可信度测试，使得其不能以微小的开销绕过或伪造。在密码保护的消息的情况下，密码密钥可以在所有控制设备中是相同的，以使得其最初的分发变得容易，其中，可以注意，密钥不会由于编程错误而暴露。

图3a示出了可扩展的互连认证的实施例。在此，在车辆300中执行四个不同的功能a310,b320,c330和d340，其中，功能d包括用于与在线服务344通信的控制设备342。控制设备分别利用自己的密钥执行功能a-d。功能a基于控制设备312和322，功能b基于控制设备322和324，功能c基于控制设备324和332，并且功能d基于控制设备342。每个控制设备包括至少一个密钥；与多于一个的功能相关联的控制设备(例如322；324)可以包括多于一个的密钥。可以通过密钥对控制设备之间的通信进行认证。例如可以在制造时对控制设备提供密钥。控制设备312,322,324,332和342通过共同的通信连接、例如总线302彼此连接。

图3b示出了通过车辆动作(状态)的传递性触发控制设备的释放的实施例。流程a410基于控制设备412(例如用于通信的控制设备)和控制设备422，流程b420基于控制设备422和424，并且功能c430基于控制设备424和432。每个控制设备包括至少一个密钥；与多于一个的功能相关联的控制设备(例如422；424)可以包括多于一个的密钥。可以通过密钥对控制设备之间的通信进行认证。控制设备412,424和432通过共同的通信连接、例如总线彼此连接。现在，如果控制设备424执行(1)功能c(例如控制设备424基于安全互连被解锁)，并且在动作c之后在流程b内将其通知(2)控制设备422(例如通过至少一个消息)，则控制设备422可以执行(3)动作b(例如将控制设备422作为第一控制设备解锁)，并且在执行动作b之后可以通知(4)控制模块412(以便能够传递性地将其解锁)，由此可以释放控制模块412的通信。由此，可以通过在车辆中接连执行的动作触发释放。动作、例如端子信号可以触发可靠的消息的发送(例如从控制设备424到控制设备422的消息或者从控制设备422到控制设备412的消息，其可以对应于图1和图2中的至少一个消息)，由此使得能够释放控制设备412。

图3c示出了通过密码操作的传递性触发控制设备的释放的实施例。在此，可以通过使用不同的密钥来使用接连执行的密码操作。车辆500包括功能a510,b520和c530。功能a基于控制设备512和522，功能b基于控制设备522和524，并且功能c基于控制设备524和532。每个控制设备包括至少一个密钥；与多于一个的功能相关联的控制设备(例如522；524)可以包括多于一个的密钥。可以通过密钥对控制设备之间的通信进行认证。控制设备通过共同的通信连接、例如总线彼此连接。在第一密码操作(1)中，控制设备532可以释放控制设备524(例如通过借助至少一个密码保护的消息相对于控制设备524对控制设备532进行合法性确认)，在第二密码操作(2)中，控制设备524可以(传递性地)释放控制设备522(例如通过借助至少一个密码保护的消息相对于控制设备522对控制设备524进行合法性确认)，并且在第三密码操作(3)中，控制设备522可以(传递性地)释放控制设备512(如前面所述)。密码操作(1)、(2)和(3)可以在彼此的基础上建立，例如(强制性地)按照该顺序执行。密码操作可以包括密码消息的发送和/或密码的挑战-响应(请求-应答)方法的执行。

图3d示出了在车辆中通过接连执行的动作释放控制设备的密码的扩展性，其中，动作(例如端子信号,…)触发可靠的消息的发送。该附图示出了流程a610、功能b620、功能c630和功能n640。流程a基于(要释放的)控制设备614和控制设备612，功能b基于控制设备622，功能c基于控制设备632，并且功能n基于控制设备642。每个控制设备包括至少一个密钥；如果一个控制设备与多于一个的另外的控制设备通信(例如要释放的控制设备614与控制设备612,622,632和642)，则该控制设备可以具有多个密钥(例如4个密钥)。可以通过密钥对控制设备之间的通信进行认证。控制设备(至少部分)通过共同的通信连接、例如总线彼此连接。在此，要释放的控制设备614可以基于其它控制设备612,622,632,642的密码操作(其可以与图3c中的密码操作类似地实现)(替换地或者累积地)解锁。例如，控制设备612,622,632和642中的每一个分别可以是安全互连的一部分。控制设备614可以被构造为确认控制设备612,622,632和642的合法性，并且如果其中的一个(替换解锁)或者全部(累积解锁)被解锁，则自己被解锁。

图3e示出了通过车辆动作(状态)的释放的扩展性。系统可以扩展到任意数量的控制设备。car2car控制设备从越多的其它的控制设备获得受保护的功能数据，则其本身例如可以越安全地真正处于车辆中。图3e示出了动作a710以及功能b(bcm上的端子15)720、c(车辆防盗锁认证)730和n(状态n)740。动作a基于要释放的控制设备714和控制设备712，功能b基于控制设备722，功能c基于控制设备732，并且功能n基于控制设备742。每个控制设备包括至少一个密钥；如果一个控制设备与多于一个的另外的控制设备通信(例如要释放的控制设备714与控制设备712,722,732和742)，则该控制设备可以具有多个密钥(例如4个密钥)。可以通过密钥对控制设备之间的通信进行认证。控制设备(至少部分)通过共同的通信连接、例如总线彼此连接。在此，要释放的控制设备714可以基于其它控制设备712,722,732,742的动作(替换地或者累积地)来解锁。例如，控制设备712,722,732和742中的每一个分别可以是安全互连的一部分。控制设备714可以被构造为确认控制设备712,722,732和742的合法性，并且如果其中的一个(替换解锁)或者全部(累积解锁)被解锁，则自己被解锁。可以通过其它控制设备和状态在内容上实现扩展性。

结合前面(例如图1和图2)描述的设计或示例提到了图3a至图3e的车辆和/或控制设备(车辆部件)的更多细节和方面。控制设备或者车辆可以包括一个或多个附加的可选特征，这些可选特征对应于前面或者后面描述的、所提出的设计或者所描述的示例中的一个或多个方面。

另一个实施例是计算机程序，在计算机程序在计算机、处理器或者可编程的硬件部件上运行时，用于执行上面描述的方法中的至少一个。此外，另一个实施例是机器或者计算机可读的数字存储介质，其具有电子可读的控制信号，电子可读的控制信号与可编程的硬件部件可以协作，使得执行上面描述的方法中的一个。

在前面的描述、所附的权利要求和附图中公开的特征不仅可以单独、而且可以以任意组合对于实施例以其不同的构造的实现很重要并且可以实现。

虽然结合装置描述了一些方面，但是应当理解，这些方面也是对对应的方法的描述，因此装置的块或者构成元件也可以理解为对应的方法步骤或者方法步骤的特征。与此类似，结合或者作为方法步骤描述的各方面也是对对应的装置的对应的块或者细节或者特征的描述。

根据特定实现要求，本发明的实施例可以以硬件或者以软件实现。实现可以使用存储有电子可读的控制信号的数字存储介质、例如软盘、dvd、蓝光盘、cd、rom、prom、eprom、eeprom或者flash存储器、硬盘或者其它磁或光存储器进行，电子可读的控制信号与可编程的硬件部件可以协作或者协作，使得执行相应的方法。

可编程的硬件部件可以通过处理器、计算机处理器(cpu＝centralprocessingunit(中央处理单元))、图形处理器(gpu＝graphicsprocessingunit(图形处理单元))、计算机、计算机系统、专用集成电路(asic＝application-specificintegratedcircuit)、集成电路(ic＝integratedcircuit)、片上系统(soc＝systemonchip)、可编程逻辑元件或者具有微处理器的场可编程门阵列(fpga＝fieldprogrammablegatearray)形成。

数字存储介质因此可以是机器或者计算机可读的。一些实施例因此包括具有电子可读的控制信号的数据载体，电子可读的控制信号能够与可编程的计算机系统或者可编程的硬件部件协作，使得执行这里描述的方法中的一个。一个实施例由此是记录有用于执行这里描述的方法中的一个的程序的数据载体(或者数字存储介质或者计算机可读的介质)。

一般来说，本发明的实施例可以作为程序、固件、具有程序代码的计算机程序或者计算机程序产品或者作为数据来实现，其中，程序代码或者数据有效，使得当程序在处理器或者可编程的硬件部件上运行时，执行这些方法中的一个。程序代码或者数据例如也可以存储在机器可读的载体或者数据载体上。程序代码或者数据尤其可以作为源代码、机器代码或者字节码以及作为其它中间代码存在。

此外，另一个实施例是数据流、信号序列或者信号的序列，其是用于执行这里描述的方法中的一个的程序。数据流、信号序列或者信号的序列例如可以被配置为经由数据通信连接、例如经由互联网或者另一网络传送。实施例因此也是代表数据的信号序列，其适合于经由网络或者数据通信连接发送，其中，数据是程序。

根据一个实施例的程序可以在执行其期间，例如通过读出其存储器位置或者将一个数据或者多个数据写入存储器位置中，由此在需要时在晶体管结构中、在放大器结构中或者在其它电、光、磁或根据其它工作原理工作的部件中引起开关过程或者其它过程，来实现所述方法中的一个。对应地，可以通过读出存储器位置来由程序采集、确定或者测量数据、值、传感器值或者其它信息。程序因此可以通过读出一个或多个存储器位置来采集、确定或者测量参量、值、测量参量和其它信息，以及通过写入一个或多个存储器位置来引起、促使或者执行动作以及控制其它设备、机器和部件。

上面描述的实施例仅仅是对本发明的原理的说明。应当理解，对这里描述的布置和细节的变形和改变对于其它本领域技术人员是明显的。因此，旨在本发明仅仅局限于所附的权利要求的保护范围，而不局限于这里借助对实施例的描述和说明而呈现的具体细节。

附图标记列表

10装置520功能b

12接口522控制设备

14控制模块524控制设备

20第一车辆部件530功能c

50第二车辆部件532控制设备

100车辆610流程a

110接收至少一个消息612控制设备

120确认第二车辆部件的合法性620功能b

130解锁第一车辆部件622控制设备

300车辆630功能c

310功能a632控制设备

302共同的通信连接/总线640功能n

312控制设备642控制设备

320功能b710流程a

322控制设备712控制设备

324控制设备720功能b

330功能c722控制设备

332控制设备730功能c

340功能d732控制设备

342控制设备740功能n

410流程a742控制设备

412控制设备

420流程b

422控制设备

424控制设备

430功能c

432控制设备

500车辆

510功能a

512控制设备