专利名称:具有可更换密码密钥和/或证书的机动车车载网络系统的制作方法
技术领域:
本发明涉及一种根据权利要求1的前序部分所述的机动车车载 网络系统,其具有通过数据总线相互通信的控制设备,以及用于经由 通信信道与车辆外部的通信对方站进行数据交换的车辆内部通信装 置。
背景技术:
机动车中的控制设备通常包括一个程序及数据存储器,其在生产 过程中或者在工厂里写入软件和数据。在一些控制设备中,属于这些 数据的除了密码密钥外还包括鉴定证书,它们由控制设备的生产商以 不能替换的方式存储到控制设备中。如果证书不再有效或者已收回, 控制设备在相关范围内的功能不能再使用。控制设备需要在厂方用具 有有效证书的新的控制设备来更换。
发明内容
本发明的任务是提供一种机动车车载网络系统,其能够针对至少 一个对方站可靠地认证。
此任务通过具有权利要求1所述特征的车载网络系统得以解决。 本发明的具有优点的实施例是从属权利要求的主题。
在具有经数据总线相互通信的控制设备、以及用于经由通信信道 与至少一个第一车辆外部通信对方站进行数据交换的车辆内部通信 装置的机动车车栽网络系统中,根据本发明建议,所述第一车辆外部 通信对方站通过通信信道将用于存储在多个控制设备中的第一控制 设备内的至少一个密码密钥和/或至少一个证书传送到所述车辆内部通信装置。所述车辆内部通信装置与数据总线形成数据技术上的连 接,并且所述至少一个密钥和/或至少一个证书通过数据总线被传送到 所述第一控制设备。所述第一控制设备以加密或解密的形式存储所述 至少一个密钥和/或至少一个证书。所述至少一个密钥和/或至少一个 证书至少被用在认证领域内。
认证中需要一个(公开的)证书和一个相应的保密密码密钥。借 助于所述保密的密码密钥,车辆被证明确实是该车辆。借助于证书,
例如CE装置授权此车辆进行通信。这样的证书通常包括与私有密钥 相匹配的公开密钥和由证书发行者(例如CE装置的生产商)对公开 密钥的签名,以及有效性和权限层面的特征。
证书发行者现在可以例如通过向CE装置输入相应的封锁标记 收回证书。车辆虽然仍能认证,但不再有权使用/控制CE装置。相反, 例如车辆的生产商也可以收回证书,例如由先前授权^使用对车辆的接
口的那些CE装置收回。
必要时需要在车辆中安装新的证书。此过程通常也要更换保密的 密钥,因为证书收回的原因通常是由于先前的保密密钥不再保密。
为了针对证书过期或者证书被收回的情况更换第一控制设备中 的证书、密码密钥、服务器地址、http代理服务器配置、URL、以及 用于拨入数据服务的电话号码中的至少一个,通信连接最好在车辆生 产商(第一车辆外部通信对方站)与相关车辆之间形成通信连接,并 送至所述第一控制设备。通过这个新的证书可以实现重新认证。
在本发明的一个实施例中,把用于认证的数据个体、即针对一个 控制设备特定的一次性的证书或这样的密码密钥送至所述第一控制 设备并从而送至每个车辆。
在本发明的 一种改进方案中,把证书封锁列表或证书封锁标记送 至所述笫一控制设备并从而送至每个车辆。这样车辆生产商可以针对 笫二车辆外部通信对方站收回证书。
在本发明的一个实施方式中,专用于相关的第一控制设备的数据 个体在传输到车辆中之前在第一车辆外部通信对方站处生成。
5根据本发明,这样的数据个体(密码密钥、证书等)尤其是被用 在数字版权检查过程、设备认证过程、安全通信(客户端认证)的访 问控制、服务器认证的浏览器证书和其它与客户相关的各种数据和程 序中。由此,车辆中的用电设备电子终端设备及其通过车辆设备完成 的操作以及车辆中的许多新应用的结合对于车辆驾驶员成为可能。
在本发明的一个实施方式中,例如相对于第三方的网络服务器或 者相对于第一车辆外部通信对方站的认证在第一控制设备和第二车 辆外部通信对方站之间进行。
本发明的 一个实施例中,认证在第 一控制设备和一个位于车辆中 的电子终端设备、尤其是客户端电子终端设备之间进行。
在本发明的另一个优选实施方式中,认证在第一控制设备和第一 车辆外部通信对方站之间进行。
本发明的一个实施例中,通过通信信道实现加密的数据交换,其 中通信信道最好是通过无线移动通信网,尤其是通过无线移动电话网
或者数据网、如LAN或W-LAN构成。
在本发明的一个实施方式中,车辆内部的通信装置通过车辆内部 的网络访问设备(Network Access Device )构成,尤其由安装在车辆 内的移动电话或者这样的W-LAN发送器/接收器构成,"网络"尤其是 指无线移动通信网络和/或无线数据运营商的网络。
在本发明的另 一个优选实施方式中,车辆内部的通信装置通过便 携式移动电话构成。便携式移动电话是没有安装在车辆中的普通移动 电话。
本发明的一个实施例中,车辆外部的第一通信对方站可以进行传 输,并且所述至少一个密钥和/或至少一个证书代替第 一控制设备中的 已过期或者被收回的密钥和/或已过期或者被收回的证书。
在本发明的一个实施例中,第一控制设备可以进行传输,并且所 述至少一个密钥和/或至少一个证书代替第一控制设备中已过期或者 被收回的密钥和/或已过期或者被收回的证书。
具体实施例方式
接下来借助两个实施例详细描述本发明。
本发明的第一个实施例描述了从车辆外部的数据服务器到设置 在车辆中的控制设备的数据个体的传输,其中所述数据服务器位于可 靠环境中。
带有根据本发明的车载网络的车辆具有至少 一个控制设备,所述 控制设备带有各自内容(至少一个数据个体)。各自内容的例子为密 码密钥、证书或者其它针对使用者或车辆特定的数据,尤其是用于控
制设备对用电设备电子终端设备(CE-设备)的认证及相反的认证。
在本发明的第一个实施方式中,控制设备在传输至少一个(新的) 数据个体之前识别出控制设备中的各自内容不再有效或者不足,需要
将(新的)各自内容传送到控制设备中。
在本发明的第二个实施方式中,尤其在车辆生产商统一访问的情 况下,由物理上处于可靠环境中的车辆外部数据服务器对其进行识 别,并且该数据服务器用于为控制设备分配和提供各自内容或数据个 体。当尤其是在预定后为驾驶员提供了附加的功能或服务时,尤其是 可能需要附加的数据个体。
具有各自内容的控制设备经由通信对方站建立至用于分配和提 供各自内容的服务器的安全通信信道。为此可以使用与现有技术相应 的通常的方法,特别是公开密钥方法。安全通信通道尤其是具有对方 站的反向认证以及在使用相关安全基础架构下的通信加密。
具有各自内容的控制设备通过明确的特征,例如名称或车载网络 地址,相对于服务器进行识别并请求新的各自数据,例如用于对于该 控制设备的特定应用密钥、用于数字版权管理(DRM)、用于客户端 i人证或者用于来源证书管理的密钥/证书对。
用于分配和提供各自内容的服务器从数据、程序和其它内容中挑 选数据组,例如密钥/证书对,或者生成所述数据组,并在数据库中把 其对应于发出请求的控制设备,从而可确保单独的使用。
用于分配和提供各自内容的服务器通过确保了保密性和整体性的安全通信信道将新的各自内容,例如新的密钥/证书对,传送给带有 各自内容的控制设备。
带有各自内容、例如密钥/证书的控制设备密钥通过新分配和传 输的各自内容、例如密钥/证书代替或者补充内部存储的各自内容。
带有各自内容的控制设备将更新或补充的状态信息,尤其是关于 成功还是失败的信息,传送给用于分配和提供各自内容的服务器。这 表明了在数据库中的成功编程。
本发明的第二个实施例描述了从车辆外部的数据服务器到设置 在车辆中的控制设备的数据个体的传输,其中所述数据服务器处于不 可靠的环境中。
一些情况下,所谓的后端不能在可靠环境中运行,例如当编程通 过服务器机构实现时。下面提到的措施也可能造成这种情况。
如果在带有各自内容的控制设备处确定存在相应的需求,例如当 证书过期时,在本发明第一个实施方式中,数据个体、或者更新或补 充的各自内容,例如密钥、证书、其它对于使用者或车辆特定的数据 的传输由带有各自内容的控制设备发起。在第二种情况下,当需要更 新或补充控制设备的各自内容时,对于车辆或使用者特定的内容,例 如证书、密钥等的传输由用于分配和提供各自内容的服务器发起。例
如以下情况当临时密钥或临时证书马上要过期,密钥或证书被收回, 或者确定用于更新或补充、例如预定新的功能或服务等其它原因。
具有各自内容的控制设备建立经由通信对方站至用于分配和提 供各自内容的服务器的安全通信信道。为此可以使用现有技术中常用 的方法,特别是如公开密钥方法。
具有各自内容的控制设备通过明确的特征,例如名称或车载网络
地址,相对于服务器进行识别,并请求新的各自数据,例如密钥/证书 对,用于对该控制设备的特定应用、用于数字版权管理(DRM)、用 于客户端认证或者用于来源证书管理。
用于分配和提供各自内容的服务器从数据、程序和其它内容中挑 选数据组,例如密钥/证书对,或者生成该数据组,并在数据库中把其对应于发出请求的控制设备,从而可确保单独使用。在本发明的第二 个实施例中,数据对于发出请求的控制设备分别加密存放,使得用于 分配和提供各自内容的服务器和/或具有加密数据的另 一服务器能够 被用在不可靠的环境中。对每个控制设备最好使用另 一个用于加密的 密钥或者密钥个体。
用于分配和提供各自的内容的服务器向具有各自内容的控制设 备传送新的各自内容,例如新的密钥/证书对。
带有各自内容、例如密钥/证书的控制设备通过新分配和传输的
各自内容,例如密钥/证书,来代替/补充内部存储的各自内容。
带有各自内容、例如密钥/证书的控制设备向用于分配和提供各
自内容的服务器传送更新或补充的状态信息,尤其是关于成功还是失 败的信息。这表明了在数据库中的成功编程。
这种方法最好通过数据准备来补充,通过带有加密存放的数据、 程序和其它内容的服务器来提供。用于分配各自内容的服务器从带有
数据、程序和其它内容的服务器中挑选各自的数据,并将其转交给执 行数据加密的安全基础架构。加密最好利用带有各自的、与目标控制 设备相对应的密码密钥来实现。上述部件最好在可靠的环境中运行。
加密后的内容通过例如因特网、DVD发送等数据路径被传送给 带有数据、程序和其它内容的服务器。由于数据被加密,带有数据、 程序和其它内容的服务器不一定要在可靠环境下运行。
权利要求
1. 一种机动车车载网络系统,其具有通过数据总线相互通信的控制设备,以及用于经由通信信道与至少一个第一车辆外部通信对方站进行数据交换的车辆内部通信装置,其特征在于,-所述第一车辆外部通信对方站通过通信信道将用于存储在多个控制设备中的第一控制设备内的至少一个密码密钥和/或至少一个证书传送至所述车辆内部通信装置,-所述车辆内部通信装置与所述数据总线形成数据技术上的连接,并且所述至少一个密码密钥和/或至少一个证书通过所述数据总线被传送至所述第一控制设备,-所述第一控制设备以加密或解密的形式存储所述至少一个密钥和/或至少一个证书,并且-所述至少一个密钥和/或至少一个证书至少被用在认证领域内。
2. 如权利要求1所述的车栽网络系统,其特征在于,用于认 证的数据个体被传送至每个第一控制设备并从而被传送至每个车辆。
3. 如权利要求2所述的车载网络系统,其特征在于,所述数据 个体在传送至车辆之前在第一车辆外部通信对方站处特定于相关的 第一控制设备而被生成。
4. 如以上权利要求中的任一项所述的车载网络系统,其特征在 于,认证在所述第一控制设备和一个第二车辆外部通信对方站之间进 行,例如相对于第三方的网络服务器进行认证,其中最好是具有第一 密钥/证书组合的车辆相对于所述第二车辆外部通信对方站进行认证, 而所述第二车辆外部通信对方站相对于具有第二密钥/证书组合的车 辆进行认证。
5. 如以上权利要求中的任一项所述的车载网络系统,其特征在 于,认证在所迷第一控制设备和一个位于车辆中的电子终端设备、尤 其是客户端电子终端设备之间进行。
6. 如以上权利要求中的任一项所述的车载网络系统,其特征在于,认证在所述第一控制设备和所述第一车辆外部通信对方站之间发 生。
7. 如以上权利要求中的任一项所述的车载网络系统,其特征在 于,通过所述通信信道实现加密的数据交换,其中所述通信信道最好 是由无线移动通信网构成,尤其是由无线移动电话网或者数据网、如 LAN或W-LAN构成。
8. 如以上权利要求中的任一项所述的车载网络系统,其特征在 于,所述车辆内部通信装置通过车辆内部的网络访问设备或者 W-LAN发送器/接收器构成,尤其是由安装在车辆中的移动电话或者 这样的W-LAN发送器/接收器构成。
9. 如以上权利要求中的任一项所述的车载网络系统,其特征在 于,所述车辆内部通信装置由没有安装在车辆中的便携式移动电话构 成。
10. 如以上权利要求中的任一项所述的车载网络系统,其特征 在于,所述第一车辆外部通信对方站允许进行传输,并且所述至少一 个密钥和/或至少一个证书代替所述第一控制设备中的已过期或者被 收回的密钥和/或已过期或者被收回的证书。
11. 如以上权利要求中的任一项所述的车载网络系统,其特征 在于,所述第一控制设备允许进行传输,并且所述至少一个密钥和/ 或至少一个证书代替所述第一控制设备中的已过期或者被收回的密 钥和/或已过期或者被收回的证书。
全文摘要
本发明涉及一种机动车车载网络系统,其具有通过数据总线相互通信的控制设备,以及经由通信信道与车辆外部的通信对方站进行数据交换的至少一个第一车辆内部通信装置。为了实现车载网络系统的认证,建议所述第一车辆外部通信对方站通过通信信道将用于存储在多个控制设备中的第一控制设备内的至少一个密钥和/或至少一个证书传送至所述车辆内部通信装置。所述车辆内部通信装置和数据总线形成数据技术上的连接,并且所述至少一个密钥和/或至少一个证书通过数据总线被送至所述第一控制设备。所述第一控制设备以加密或解密的形式存储所述至少一个密钥和/或至少一个证书,并且所述至少一个密钥和/或至少一个证书至少被用在认证领域内。
文档编号H04L29/06GK101510824SQ20091000206
公开日2009年8月19日 申请日期2009年1月12日 优先权日2008年2月13日
发明者M·斯米尔诺夫, S·兹莫曼 申请人:宝马股份公司