综合特性曲线进行比较。换言之,新数据必须位于预定的取值间隔中。该取值间隔 的边缘由一个或者多个综合特性曲线确定。如果用户尝试将新数据存储在第二通信区中的 综合特性曲线存储器中,且新数据在作为车辆控制数据应用时导致控制值超出由至少一个 综合特性曲线所规定的范围,则监控设备将阻止传输新数据到第二通信区中。该实施方式 具有如下优点,用户可以始终相对自由地规定综合特性曲线的走向,在该情况下不会威胁 其自身的安全性或者其他的交通参与者的安全性或者也不会由于以错误的车辆控制数据 进行的运行而对机动车部件造成损坏。
[0018] 而如果在机动车中存储有多个预设的、可选择的综合特性曲线,则实现了对不期 望的改变的特别好的保护。监控设备于是作为虚拟交换机工作。换言之,在该情况下新数据 不规定任意的新的车辆控制数据。更确切地说,监控设备设计用于,基于新数据启用一个或 者多个预设的综合特性曲线,由此激活该综合特性曲线以用作机动车中的车辆控制数据。
[0019] 根据一个实施方式得出一种特别灵活的、由新数据确定机动车的行驶行为的可能 性,其中,监控设备设计用于,基于新数据来模拟由新数据所得出的行驶行为。用户随后可 以借助于应用程序将任意的新数据从第一通信区传输到第二通信区中。监控设备于是通过 模拟检查该数据是否可信。在此,只有在按照预定的可信度标准得出允许的行驶行为时才 转发新数据,即作为车辆控制数据保存在第二通信区的存储设备中。将哪个可信度标准在 这里作为基础在此自然取决于哪些车辆控制数据被具体地改变。在此,本领域技术人员可 以借鉴那些与控制设备的运行的模拟相关联地存在的知识。
[0020] 在按照本发明的机动车的改进方案中提供另外的通信区、即第三通信区。该第三 通信区与第一通信区同样通过监控设备相耦合。用于与车辆和/或个人有关的、例如用于 网上支付和/或网上服务的秘密数据的存储器位于第三通信区中。在此,监控设备防止未 经授权地从第一通信区到第三通信区中的秘密数据的数据访问。在此,监控设备设计用于, 仅利用有效的验证码才允许从第一通信区到第三通信区的数据访问。由此在交易和网上 服务时、即例如在加油站自动化地支付燃油费时通过安全验证得出对机动车用户有利的帮 助。验证码优选是匿名的代码,该匿名的代码不允许对操作人员的身份进行倒推。
[0021] 在此,监控设备例如可以设计用于,基于交易号(TAN)方法(交易号: Transaktionsnummer)确定验证码。在此也能使用一种移动的变型、所谓的移动交易号 (TAN),该移动交易号(TAN)仅在需要时产生并且例如通过SMS(短消息服务ShortMessage Service)提供给用户。
[0022] 监控设备一方面可以设计用于,通过在第一通信区中执行的应用程序接收操作 人员的验证码。换言之,例如可以通过机动车的信息娱乐系统查询PIN(个人身份数据 PersonalIdentificationNumber)或者交易号(TAN) 〇
[0023] 为了能实现外部的数据服务,例如从机动车用户的账户中自动扣款,因为该用户 例如在加油站进行了加油,监控设备另外一方面可以以有利的方式设计用于,通过例如来 自外部设备的网络的通信设备接收验证码,也就是不需要在机动车中的用户的辅助。
[0024] 监控设备优选设计用于,在使用后或者在经过了一段确定的持续时间后更换验证 码,由此使得在验证码例如被恶意软件窃取后,该验证码不能被滥用。
[0025] 如所述地,本发明还包括一种方法。利用该方法监控对车辆控制数据的干预,该车 辆控制数据决定机动车的行驶行为。所述方法包括由监控设备所实施的步骤,以便在第一 与第二通信区之间检查新数据。在识别到尝试从第一通信区向第二通信区传输新数据的情 况下,随后通过监控设备对新数据进行检查:在将新数据用作车辆控制数据时所得出的机 动车行驶行为在安全标准的规定下是否是安全的,只有在新数据符合该安全标准时监控设 备才允许传输。
[0026] 按照本发明的方法的改进方案也属于本发明,该改进方案具有已经与按照本发明 的机动车的改进方案相关联地描述过的特征。出于该原因,在此不再描述按照本发明的方 法的相应的改进方案。
【附图说明】
[0027] 以下根据具体的实施例再次阐述本发明。在此示出:
[0028] 图1示出按照本发明的机动车的实施方式的数据网络的逻辑结构的示意图,和
[0029] 图2示出用于阐述不同的类型的草图,图1的机动车的应用程序可以被划分到所 述不同的类型中。
【具体实施方式】
[0030] 在以下所阐述的实施例中,实施方式的所述部件分别表示本发明的单独的、可以 视为互相独立的特征,这些特征分别也互相独立地进一步扩展本发明并且因此也可以单独 地或者以不同于所示组合的方式视为本发明的组成部分。此外,所述的实施方式也可以通 过本发明已经描述的其他特征进行补充。
[0031] 在图1中示意性地示出机动车10中的数据网络12。数据网络12在所示的例子中 划分为三个不同的通信区Kl、K2、K3。每个通信区的特征在于,在控制设备的控制程序、应 用程序或者逻辑电路之间的数据交换彼此之间在相应的通信区Kl、K2、K3内分别自由地进 行,亦即,没有通过另外的控制设备进行附加的监控。在通信区K1、K2、K3之一内的通信也 就通过应用自身进行控制。
[0032] 在此,每个通信区可以不仅包括电路技术上的部件而且还包括程序。通信区K1、 K2、K3之一例如可以是一个或者多个计算机或者控制设备,该计算机或者控制设备彼此之 间例如通过数据总线或者以太网进行连接。在单个计算机内也可以实现两个通信区的部 分。如果例如在这些通信区之一中执行一个应用程序并且在这些通信区中的第二通信区中 执行第二应用程序,则可以以已知的方式通过虚拟环境实现,例如虚拟环境能通过对操作 系统的虚拟化实现,因此这两个应用程序可以在逻辑上互相隔离,于是由此同样地得出两 个通信区中的隔离。对此的一个例子是同名企业的产SKVMware" ?9
[0033] 相反,在通信区之间自由的数据交换是不可能的。在图1所示的例子中,在通信区 K2和K3之间的直接的通信由通信界限14甚至完全地禁止。换言之,不存在通信连接、例如 通信线缆,通过该通信线缆可以在通信区K2和通信区K3之间交换数据。但是,通信区K1 不仅与通信区K2而且也与通信区K3通过监控设备16相连接。由此实现以下进一步阐述 的、在这些通信区之间的数据交换,该数据交换不是自由地、而是受监控地运行的。
[0034] 在通信区K1中例如可以设有人机接口(HMI)或者简称机动车10的接口 20,例如 该接口可以通过娱乐信息系统或者其所属的屏幕实现。驾驶员18可以通过接口 20使用机 动车10的已知的数据服务,即例如收听广播、导航、操作舒适性电子仪器。在通信区K1中 也可以安装通信单元22用于与车辆环境进行数据交换(EXTERNC0MM外部通信)。例如通 信单元22可以包括Car-2-X通信单元、移动电话、无线局域网(WLAN)或者WiFi通信模块。 借助于通信单元20特别是可以提供一种与互联网26的数据连接24。由此能实现在通信区 K1的应用程序与互联网26的外部的数据服务器、即互联网服务器28之间的数据交换。在 此,机动车10通过已知的、传统的保护协议对从外部通过数据连接24的未经授权的访问进 行屏蔽,但是保护协议的详细的实现方式不是本发明的主题并且因此在此不进行描述。
[003