本发明涉及一种针对机动车的用于提高在远程触发时的安全性的方法和设备以及一种具有这种设备的机动车。
背景技术:
对安全相关的功能的远程触发、例如在使用车钥匙的情况下对机动车的停车辅助或者车辆空调的远程触发或者在使用用户设备的应用软件的情况下对家庭自动化设施的家庭自动化设备的远程触发越来越重要。
在此,原则上,由于接收到如下数据而进行远程触发,所述数据被分配给在第二设备上的应用中的用户输入。
为了确保在远程触发时的安全性,公知不同的机制。例如,de102012024101a1描述了一种用于车辆的方法,所述方法包括用户标识。在de102013010152a1中描述了:在开始数据传输时通过所存储的应用软件进行标识,其中在此可以使用设备识别标准。
技术实现要素:
现在,本发明所基于的任务在于提高在远程触发时的安全性。
为此,按照本发明,提出了根据权利要求1所述的方法、根据权利要求5所述的另一方法、根据权利要求13所述的设备、根据权利要求14所述的车辆和根据权利要求15所述的存储设备。
该方法用于提高在由于接收到数据而对第一设备的安全相关的功能进行远程触发时的安全性。在此,这些数据由第二设备接收,所述第二设备中存在与第一设备的通信连接。这些数据被分配给在第二设备上的应用中的用户输入。该方法的特征在于,第一设备在每次用户输入时都接收在数据包结构的数据包中的数据的一部分,其中如果该数据包结构没有对应于预先确定的数据包结构,那么第一设备阻止远程触发。
另一方法用于由于接收到关于在第二设备上的应用中的用户输入的数据而对第一设备的安全相关的功能进行远程触发,第二设备中存在与第一设备的通信连接。所述另一方法的特征在于,第二设备在每次用户输入时都将在预先确定的数据包结构的数据包中的数据的一部分发送给第一设备。
在数据包的接收顺序方面与预先确定的顺序的偏差是第二设备的功能失误的指标。借此,在有偏差时对远程触发的阻止减少了由于有错误的第二设备引起的远程触发的危险并且借此减少了有错误的远程触发。
在该方法的优选的设计方案中规定:如果数据包不是在预先确定的时长内来接收的和/或如果在连续接收到的数据包之间的等待时长超过最高等待时长,那么第一设备也阻止远程触发。相对应地,在另一方法的一个优选的实施方式中规定:第二设备在预先确定的时长之内发送数据包和/或第二设备在发送数据包时不超过在连续发送的数据包之间的最高等待时长。
在第二设备的功能失误的情况下更可能超过时间限制,使得对时长的监控和在时长期满之后对远程触发的阻止进一步提高了安全性。
第二设备可以针对数据包中的每个数据包形成一个校验和并且将该校验和添加给相应的数据包。数据包因此可以包括校验和,而且第一设备可以配置为:如果在数据包之一中校验和与在该数据包中的其余数据不匹配,那么也阻止远程触发。
校验和是用于使各个数据包生效的有效的辅助工具。如果只有生效的数据包的以正确的顺序来接收的序列可以引起远程触发,那么在安全性方面进一步改善了远程触发。
附加地或可替换地,数据包可以由第二设备加密,而且第一设备可以配置为:如果数据包之一不能一起被解密,那么也阻止远程触发。
在此,数据包可以用不同的密钥来加密,所述密钥以预先确定的顺序被分配给位置。
可能的是,第二设备从第一设备获得不同的密钥。
用户输入可包括:用于启动应用的输入、对个人识别码的输入、对验证码(captcha-code)的输入、用于选择远程触发的输入和/或用于激活远程触发的输入。数据包之一可包括所输入的个人识别码,而随后的数据包可包括所输入的验证码。
如果数据包不是以预先确定的顺序来接收的,那么第一设备可以阻止远程触发。
只要在个别情况下不另作实施,本发明的在本申请中提到的不同的实施方式就能有利地来彼此结合。
附图说明
随后,本发明在实施例中依据所属的附图来阐述。其中:
图1示出了按照方法的一个实施例的流程图;
图2示出了按照本发明的第一实施例的数据包结构;
图3示出了数据包的其它可能的成分;
图4示出了数据包的又一其它可能的成分;
图5示出了按照本发明的第二实施例的数据包结构;而
图6示出了按照本发明的一个实施例的系统。
具体实施方式
本发明基于如下思想:通过在系统、例如车辆中的实体可以对来自系统外部的数据进行可信性检查,使得这些数据可以引起对安全相关的功能的远程触发,而不损害系统的安全性。本发明尤其适合于根据iso26262的安全相关的电气设备。本发明使得将该标准应用于在车辆之外的部件成为可能。
本发明阻止了在系统之外的单个故障导致触发,因为这些单个故障改变了数据包结构。而在数据包结构方面相互进行抵消的多个故障明显更不可能。
本发明基于:开始运转、例如在第一设备(例如车辆预先空调)与第二设备(例如用户设备)之间的配备原则上结束,所述第一设备提供安全相关的功能,用户想要从所述第二设备出发来触发该功能。
本发明将用于远程触发的程序流分成用户输入步骤的预先确定的顺序,在所述用户输入步骤之间分别存在自动实施的步骤。这能够实现:识别出单个故障、例如由于有错误地探测到的用户输入或者在程序流中的有错误的跳转引起的单个故障,而且因此识别出在对安全相关的功能进行远程触发时的可能的风险。因此,车辆中的实体可以对来自外部的数据进行可信性检查。
在本发明的在图1中示出的实施例中实施如下步骤,所述步骤分别需要用户相互作用:
在步骤s10中,用户接通用户设备(例如移动电话)、解锁显示屏并且在用户设备上启动应用(应用软件,app),所述应用提供了对其它设备(例如车辆的控制设备)的功能的远程触发可能性。
然后,用户在步骤s20中输入个人识别码(pin)。紧接着,用户选择用于远程触发的功能。这在步骤s30中进行,步骤s40跟随所述步骤s30,在所述步骤s40中,用户激活对功能的远程触发。随后,在步骤s50中,该激活必须通过打出验证码(将计算机和人类分开的完全自动化的公共图灵测试、例如已经通过图像过滤器来扭曲的文本)来确认。
实际上,只有在步骤的所述序列之后才可以进行远程触发。在该实施例中,用户设备在至少步骤s20、s30、s40和s50中或者在至少步骤s20、s30、s40和s50之后自动将数据包发给控制设备,使得形成对数据包的接收顺序。传输例如可以根据移动无线电标准通过无线局域网(wlan)或者通过蓝牙来进行。在一个示例性的实施方式中,仅仅通过(例如根据全球移动通信系统(gsm)标准、通用移动通讯系统(umts)标准或者长期演进(lte)标准的)移动无线电进行通信。尤其是,在远程触发期间可以抑制任何其它无线通信。
在另一实施例中,用户设备将所有数据包一起作为一个块在通信保护的情况下发给车辆的控制设备,其中通过数据包在块中的顺序确定数据包的接收顺序。
在步骤s25中,控制设备检查所输入的pin是否对应于所寄存的pin,而在步骤s55中,控制设备检查所输入的验证码是否对应于所寄存的验证码。如果这些检查中的一个不成功,那么控制设备在步骤s60中阻止远程触发。附加地,在所输入的pin与所寄存的pin之间的差异可选地可能引起:控制设备操控用户设备,使得该应用结束。如果用户接着还希望远程触发,那么他必须重新执行该方法。
该实施例包括另一步骤s60,在所述另一步骤s60中,控制设备检查该接收顺序是否对应于预先确定的顺序。如果情况不是如此,那么控制设备的安全机制阻止了远程触发。
接收顺序与预先确定的顺序的一致是对用户设备没有错误地工作的良好的提示。相反,不一致是对可能会损害安全性的功能失误的提示。
扩展地可能的是,pin分布到多个数据包上地来传输。
附加地或可替换地,可能的是给数据包配备时间戳。接着,可选地,控制设备实施步骤s65,在所述步骤s65中检查在连续接收到的数据包之间的时长是否都没有超过等待时长和/或在第一个接收到的数据包与最后一个接收到的数据包之间的总时长是否超过预先确定的最大时长。如果该检查得出超过,那么控制设备的安全机制可以阻止远程触发。
附加地或可替换地,可能的是,给数据包配备校验和,以便使数据包的完整性能检查。
附加地或可替换地,可能的是,用控制设备的一个或不同的公钥对数据包进行加密,使得只有该控制设备可以对数据包进行解密。在此,自己的密钥可以以预先确定的顺序分配给每个位置。接着,与预先确定的顺序的偏差可以直接根据利用被分配给接收位置的密钥的不可解密性来推导出。
可能的是,对本发明进行扩展,使得由控制设备来确认用户设备正确地接收到每个数据包,而且只有当相应地紧前面的数据包已经正确地被接收到时,控制设备才发送按照预先确定的顺序的下一个数据包,否则然而重新发送所述相应地紧前面的数据包。如果在此使用加密,那么在此或者可以将相同的密钥用于加密前面的数据包,所述密钥已经在先前的发送尝试中被使用。或者使用来自密钥的序列的下一个密钥。
在有利的扩展方案中,例如作为对通过用户设备引起的在步骤s10中发送的相对应的询问的响应,可以由车辆例如在数据组中提供验证码和/或密钥。
数据组可以以译成密码的方式来传输。该应用又可以构造为在相应的步骤中逐渐地对数据组进行破译。数据组可以有时间期限。接着或者否则也可能的是,车辆提供多个数据组。这改善了在无线电连接差时的安全性被检查的远程触发。
在车辆中,数据组可以非易失性地存放在存储器中。在此,验证码可以以能机器解释的方式、即例如作为在扭曲的图像中示出的文本来存放。
附加地或可替换地,可能的是,相对于相应其它设备对用户设备和/或车辆进行认证,以便例如阻止在错误的车辆中的远程触发。例如,用户设备以私钥对数据包进行加密,使得对数据包进行签名。
接着,在控制设备中根据接收顺序与预先确定的顺序之间的差异可以推断出用户设备有技术问题。必要时,接着可以持续地阻止由该用户设备引起的远程触发。
在一个有利的扩展方案中,用户设备本身也检查pin。这例如可以通过分析哈希函数来进行,如果该哈希函数针对所输入的pin得到对应于如下哈希值,所述哈希值对应于所寄存的哈希值,那么所输入的pin是正确的。接着,pin不必非易失性地寄存在用户设备本身中,使得其它应用也不能访问该pin。对所输入的pin的临时的、易失性的存储是足够的并且能够实现经改善的访问保护。
应用例如可以配置为需要通过触摸屏的pin输入。在此,在单个输入之间可能需要最小操纵时长和/或操纵间隔,例如10、20、50或100ms,这必要时需要对触摸屏的去除抖动(entprellung)。附加地或可替换地,可能需要在最大输入时长之内输入pin。输入没有对应于所寄存的哈希值的pin可能导致必须等待的在可以重新输入pin之前的封锁时间。附加地或可替换地,对pin(所述pin全部没有对应于所寄存的哈希值)的例如3、4或5次输入的序列可能导致封锁时间延长或者持续封锁。触摸屏的框架表面可以被限定为使得对框架表面的触摸导致远程触发方法的中断。
相对应地,重复地有错误地输入验证码可能导致封锁时间或者持续封锁。单次地有错误地输入验证码是否已经引起封锁时间可以是能由分析验证码输入的控制设备来规定的。
例如作为对触发器的响应,在用户设备上可以在没有与用户的相互作用的情况下运行后台任务,所述后台任务将状态信息传送给车辆。对安全相关的功能的激活可以是这种触发器。在此,触发器可以直接通过应用来设置或者间接通过车辆来设置,在后者的情况下具有时间延迟。后台任务提供了在用户设备上的监控功能。在此,例如可以从报告时段开始将状态消息报告给车辆,所述报告时段例如被选择为使得可以已经进行输入来激活功能。
这些状态信息例如可以涉及显示屏的接通状态、应用在前景中的呈现、输入可能性(究竟可以进行哪个输出
在一个实施例中,用户设备被配置为:为了实施后台任务而使用不同于用于实施该应用的中央处理单元,以便这样确保更高的安全性。
通过划分成具有自己的输入和自己的数据部分的不相关的部分,本发明能够实现有错误的跳转不导致完整的、有效的数据的发送。
附加地可能的是,将用于触发最后的数据包的发送的最后的输入的时段(输入时长)选择得短,比如1、2或5秒,以便进一步提高安全性(几秒的暂停)。
在数据包结构方面的按照本发明的发送也能够实现对数据的分级的制订和可靠的存档。因此不存在不利的最大时间点。
在另一实施例中,数据包共同在块中被发送,其中所述块具有这种大的规模,使得在统计学上可以排除危险。为了对所述块进行评估,可以使用可靠的时钟发生器。
如果数据包单个地被发送,那么可以保证完整的消息绝不完全/同时在用户设备的存储器中。
本发明尤其能够实现:数据包被分配给不同类型的用户输入、即例如显示屏解锁符号或者键盘输入。
在另一实施例中,在用户设备与提供安全相关的功能的设备之间的通信可以通过预先确定的服务器(后台)进行。
图2示出了按照本发明的第一实施例的数据包结构100。数据包结构示例性地包括四个数据包110、120、130、140,更多或更少的数据包都是可能的。这些数据包110、120、130、140关于时间错开地单个地来发送。数据包110、120、130、140中的每个数据包都包含数据111、121、131、141。
图3示出了数据包110、120、130、140的其它可能的成分。除了真正的数据111、121、131、141之外,每个数据包都包括时间戳112、122、132、142。此外,数据结构还包括其它数据包150,所述其它数据包150能够实现发送方和/或接收方认证。
图4示出了数据包110、120、130、140的又一其它可能的成分。除了真正的数据111、121、131、141之外,每个数据包都包括时间戳112、122、132、142和校验和113、123、133。在此,这些数据包整体上或者每个部分(校验和、时间戳、数据)本身都被加密。此外,数据结构还包括其它数据包150,所述其它数据包150能够实现发送方和/或接收方认证。
图5示出了按照本发明的第二实施例的数据包结构200。不同于其中数据包110、120、130、140相继单个地被发送的图2,数据包结构200形成块,所述块优选地却不一定可以在使用通信保护的情况下来传输。该块包括数据包110、120、130、140、150,所述数据包对应于与图3相关联地描述的数据包。
图6示出了按照本发明的一个实施例的系统。在所示出的示例中,车辆500包括控制设备510,所述控制设备能够实现从用户设备300出发通过后台服务器400对车辆500的安全相关的功能的远程触发。
本发明阻止了如下安全危害,所述安全危害可能例如由于故障“跳转指令指针(sprunginstructionpointer)”而触发。在跳转到任意位置时,由于划分成具有自己的输入和自己的数据部分的不相关的部分,没有发送完整的和/或有效的数据。此外,通过很短的暂停时间(例如1、2或3秒),可以以高的概率来阻止:在很有限的时段内的最后的用户所期望的输入之前,最后一个包的即使在跳转到任意位置上时也可以一致的数据实际上在这种跳转之后被发送。
本发明阻止了如下安全危害,所述安全危害可能例如由于故障“数据被伪造或改写”而触发。通过划分成子序列,对数据的分级的制订和可靠的存档是可能的,使得不存在不利的最大时间点。附加地或可替换地,所要发送的包的规模可以选择得大,使得在统计学上可以排除危险。
因为单是由于数据伪造就不发送数据包,所以必须在产生消息之后但是在发送消息之前根据用户希望来进行伪造。在各个子序列产生之后直接发送各个子序列(如在本发明的示例性的实施方式中进行的那样)减小了伪造的可能性,除了其它原因外也因为在存储器中绝不存在完整的消息。
本发明阻止了如下安全危害,所述安全危害可能例如由于故障“cpu故障”而触发。例如,不同的序列部分中的每个序列部分都可以用不同的指令来实现。在此,可以使用整体上更小的指令组,所述指令组仅仅基于如下指令,所述指令也常常由其它应用使用。如果因为cpu是有错误的所以这些指令之一有错误地被实施,那么即使在其它应用中也出现了该设备的故障行为,使得用户可以察觉到有错误的实施并且识别出设备的损坏。
本发明通过按键锁、pin、验证码输入、在对触摸屏的框架表面进行触摸时的中断和/或在误输入时的暂停来阻止如下安全危害,所述安全危害可能例如由于故障“错觉输入”而触发。
此外,本发明还通过通信保护、通过将内容译成密码和/或对内容进行签名,和/或只从所规定的服务器(后台)进行接收来阻止故障“在因特网中的任意设备将任意内容发送给车辆的ocu”。
同样可靠地阻止了如下安全危害或使如下安全危害最小化,所述安全危害可能例如由于故障“在后台错误的手机到车辆分配”而触发。通过针对内容的其中移动终端设备只知道唯一被分配的车辆的密钥的通信保护,阻止了用户从一开始就在他人的车辆上实施行动或者阻止了后来可能进行没有被识别出的伪造。
如果对其触摸导致中断的框架表面被选择为使得仅仅留下一个输入框用来输入pin,而且如果在2次、3次或更多次误输入之后激活封锁时间,那么pin错误造成的危害的概率可以被降低到1:10000或者还可以降到1:10000之下。
如果对其触摸导致中断的框架表面被选择为使得仅仅留下一个输入框用来输入验证码,而且如果在2次、3次或更多次误输入之后激活封锁时间,那么验证码错误造成的危害的概率也可以被降低到1:10000或者还可以降到1:10000之下。
如果需要在输入之间的活跃的等待时间、例如3秒,在所述等待时间内不允许对触摸屏进行触摸,那么连续的错觉输入可以被识别为活跃。
附图标记列表
100、200数据包结构
110、120、130、140数据包
111、121、131、141数据
112、122、132、142时间戳
113、123、133、134校验和
150其它数据包
300用户设备(移动电话)
400服务器(后台)
500车辆
510控制设备。