机动车10的对于错误控制数据的附加自身保护。如果行 动是经监控设备16所同意的,则新数据从通信区K1到达通信区K2中。因此不存在例如对 综合特性曲线存储器48或者传感器44和控制设备46的其余的参数存储器的直接的访问。 因此不能在部件44、46、48中存储任意的、并且因此可能错误的车辆控制数据。代替直接的 访问一一该直接的访问用于加载新的综合特性曲线或者改变存在的综合特性曲线,虚拟交 换机S仅对这样的综合特性曲线进行启用,该综合特性曲线例如由机动车制造商或者通过 经销商提前安装在通信区K2中。即使在无意地切换到错误的车辆控制数据记录时,仍然涉 及这样的车辆控制数据,该车辆控制数据由机动车制造商或者经销商以专业人员技术检查 过。
[0049] 通过按照本发明的机动车实现了重要的功能和控制命令相对机动车外部的访问 的隔离。机动车10在交易和服务时通过安全验证辅助操作人员18。如果机动车制造商 提供不同的扩展,例如以扩展的用于机动车控制的综合特性曲线的形式提供可购买的行驶 动力学数据包,则因此综合特性曲线可以在机动车的制造商处或者事后安全地在机动车10 中安装或者激活。尽管如此综合特性曲线在该方式中可能被无意或者意外地篡改,以致于 产生机动车10的不安全的行驶行为。总体上这在原则上由此实现,在通信区K3中每个访 问例如必须由用户18确认(通过TAN/PIN输入启用)并且与通信区K2相关联地对新数据 进行可信度测试。这在所述的方式中可以通过存储器可选择的综合特性曲线实现或者也可 以通过对新接收到的程序进行模拟实现,通过该模拟能够识别对车辆控制的影响。只有在 模拟得出可信的行驶行为时,虚拟交换机S才切换到新数据。
【主权项】
1. 一种机动车(10),该机动车具有: -通信设备(22),用于在机动车(10)与车外设备(28)之间进行无线数据传输和/或 在该机动车与另外的机动车之间进行无线数据传输, -处理器设备(20),该处理器设备设计用于在第一通信区(Kl)中执行应用程序,第一 通信区设计用于通过通信设备(22)在应用程序与车外设备(28)之间和/或在该应用程序 与另外的机动车之间进行数据交换,以及 -用于车辆控制数据的存储设备(42),车辆控制数据决定机动车(10)的行驶行为,其 中,存储设备(42)被布置在机动车(10)的第二通信区(K2)中, 其特征在于, 所述第一通信区(Kl)和第二通信区(K2)通过监控设备(16)相耦合,监控设备设计用 于,在应用程序尝试将新数据从第一通信区(Kl)传输至第二通信区(K2)的情况下,只有当 监控设备(16)识别到新数据所引起的机动车(10)行驶行为在预定的安全标准的规定下是 安全的时,才将新数据转发到第二通信区(K2)。2. 根据权利要求1所述的机动车(10),其中,所述监控设备(16)设计用于,将新数据 与至少一个保存在机动车(10)中的框架式综合特性曲线进行比较,如果新数据在作为车 辆控制数据应用时导致控制值超出由至少一个框架式综合特性曲线所规定的允许范围,则 阻止新数据的传输。3. 根据权利要求1或2所述的机动车(10),其中,所述第二通信区(K2)包括至少一 个对于机动车的行驶工况必要的部件(44、46、48),该部件通过用于接收新数据的监控设备 (16)与第一通信区(Kl)相耦合,并且存储设备(42)至少部分地包括所述部件。4. 根据权利要求3所述的机动车(10),其中,所述至少一个部件(44、46、48)包括:涉 及行驶安全性的控制设备(46)、用于行驶动力学控制的控制设备(46)、用于这样的控制 设备的综合特性曲线存储器(48)、传感器(44)、用于供电的车载电网、线控驱动控制设备 (46)、用于无人驾驶和/或自主行驶的控制设备(46)。5. 根据上述权利要求中任一项所述的机动车(10),其中,在机动车(10)中存储有多个 预设的、可选择的综合特性曲线,所述监控设备设计用于,基于新数据启用至少一个预设的 综合特性曲线并且由此激活该综合特性曲线以用作机动车中的车辆控制数据。6. 根据上述权利要求中任一项所述的机动车(10),其中,所述监控设备(16)设计用 于,基于新数据来模拟由新数据所得出的行驶行为,只有在按照预定的可信度标准得出允 许的行驶行为时才转发新数据。7. 根据上述权利要求中任一项所述的机动车(10),其中,在机动车(10)中,设有通过 监控设备(16)与第一通信区(Kl)相耦合的第三通信区(K3),该第三通信区带有用于与车 辆和/或个人有关的、用于网上支付和/或网上服务的秘密数据(32)的存储器(30),其中, 所述监控设备(16)设计用于,仅利用有效的验证码(40)才允许从第一通信区(Kl)到第三 通信区(K3)的数据访问。8. 根据权利要求7所述的机动车(10),其中,所述监控设备(16)设计用于,通过在第 一通信区(Kl)中执行的应用程序接收操作人员(18)的验证码(40)。9. 根据权利要求7或8所述的机动车(10),其中,所述监控设备(16)设计用于,通过 通信设备(22)从外部设备接收验证码(40)。10. 根据权利要求7至9中任一项所述的机动车(10),其中,所述监控设备(16)设计 用于,基于交易号方法确定验证码(40)。11. 根据权利要求7至10中任一项所述的机动车(10),其中,所述监控设备(16)设计 用于,在使用后或者在经过了一段确定的持续时间后更换验证码(40)。12. -种用于监控对车辆控制数据的干预的方法,所述车辆控制数据决定机动车(10) 的行驶行为,其中, -通过监控设备(16)对第一通信区(Kl)与第二通信区(K2)之间的连接进行监控,在 该第一通信区中执行提供用于改变车辆控制数据的新数据的应用程序,在该第二通信区中 车辆控制数据被存储在存储设备(42)中,在识别到尝试从第一通信区(Kl)向第二通信区 (K2)传输新数据的情况下,随后通过监控设备(16)对新数据进行检查:在将新数据用作车 辆控制数据时所得出的机动车(10)行驶行为在安全标准的规定下是否是安全的,只有在 新数据符合该安全标准时监控设备才允许传输。
【专利摘要】本发明涉及一种机动车(10),该机动车具有处理器设备(20),该处理器设备设计用于在第一通信区(K1)中执行应用程序,该机动车还具有用于车辆控制数据的存储设备(42),车辆控制数据决定机动车(10)的行驶行为。存储设备(42)被布置在机动车(10)的第二通信区(K2)中。本发明的目的在于,通过应用程序能实现对车辆控制数据进行后续的改变并且在此提供一种对车辆控制数据被不期望地篡改的保护。为此,第一通信区(K1)和第二通信区(K2)通过监控设备(16)相耦合,监控设备设计用于,在应用程序尝试将新数据从第一通信区(K1)传输至第二通信区(K2)的情况下,只有当监控设备(16)识别到新数据所引起的机动车(10)行驶行为在预定的安全标准的规定下是安全的时,才将新数据转发到第二通信区(K2)。
【IPC分类】H04W4/04, H04L29/06
【公开号】CN105009545
【申请号】CN201480009820
【发明人】W·维尔丁, T·克劳特, W·施密特, J·米夏埃尔, M·舒斯乐, J·兰德格拉夫, R·斯塔尔曼, M·莫勒
【申请人】奥迪股份公司
【公开日】2015年10月28日
【申请日】2014年2月14日
【公告号】DE102013003040A1, DE102013003040B4, WO2014127897A1