保证汽车部件通过无线通信连接与外部通信伙伴的安全通信的方法和装置的制作方法

专利名称：保证汽车部件通过无线通信连接与外部通信伙伴的安全通信的方法和装置的制作方法
技术领域：
本发明涉及一种用于保证汽车的多个部件中的至少一个部件通过 无线通信连接与至少一个外部通信伙伴的安全通信的方法，其中该多 个部件分别包括至少一个用于交换数据的通信模块，该方法包括在汽 车的发送和接收装置与外部发送/接收站之间交换数据分组，本发明还 涉及对应的装置和对应的通信系统。
背景技术：
汽车的部件和汽车外部的通信伙伴之间通过无线通信连接进行数 据交换的必要性日益增加。汽车的部件既被看作是在汽车的计算机(汽 车计算机)上运行的软件应用，也被看作硬件组成部分，如电机控制 模块。为了能在汽车的部件之间交换数据，所有这些部件包括至少一 个通信模块，该模块通常实施为软件并且可以在汽车计算机上执行。 用于电机控制模块的通信模块例如是在汽车计算机上作为软件执行并 且能够通过总线系统访问所述部件的硬件组成部分的通信接口。
外部通信伙伴和汽车部件之间的通信需要可能具有多种多样的原 因。对于汽车的用户来说，例如期望的是电机控制模块与汽车制造商 的合约车间之间交换数据，以便在汽车故障时对汽车进行快速和可靠
的诊断。通过无线通信连接进行通信的另 一个例子是将多媒体信息下
栽到汽车的Infotainment模块中。还可以考虑很多其它在汽车部件和 外部通信伙伴之间进行无线通信的应用。下面还要谈到这样的应用， 其中与汽车分离或可分离的装置如移动电话或便携式计算机等与汽车 连接，并且通过汽车的发送/接收装置与发送/接收站之间进行无线的数 据交换。该外部的通信伙伴例如可以是在通过网络与所述发送/接收站 连接的计算机上运行的软件应用。但是也可以是通过借助网络与所述 发送/接收站连接的电子设备与汽车部件交换数据的其它装置或人员。 汽车的发送/接收装置和外部发送/接收站之间的无线通信连接通常实施为WLAN连接(WLAN - Wireless Local Area Network,无线 局域网)。在无线的通信连接中原则上存在该连接可能被无权者监听 的问题。尤其是在交换敏感数据时，应当避免无权监听者和/或对数据 的操纵。因此采用不同的验证机制和加密机制。
下面假定，无线的通信连接是WLAN连接。但是所描述的内容适 用于任意的无线通信连接。WLAN网络使得移动发送/接收装置可以与 称为接入点或热点的外部发送/接收站之间建立通信连接。WLAN接入 点可以由不同的运营商提供。例如，可以向汽车制造商的合约经销商 和合约车间提供接入点，以便能通过WLAN连接与汽车通信，从而减 小维护和故障诊断的难度。同样汽车的所有人可以运行专用的WLAN 接入点，该所有人通过该WLAN接入点例如将导航数据、多媒体数据 等从其计算机转录到汽车的导航单元或Infotainment单元中。通过 WLAN连接可以提供其它功能。从而可以考虑在加油站和其它公开地 点提供接入点，通过这些接入点可以获得附加服务。
在不同的接入点上使用的保护机制通常是不同的。专用WLAN网 络可以通过用户得到很好的保护，因为该专用WALN网络只是为了与 汽车和必要时其它很少的电子部件进行通信而设置的，但是可公开访 问的接入点，例如在加油站或快餐店的接入点必须允许很多不同的设 备和通信用户访问。从而存在既需要验证又要对数据通信往来加密的 接入点。其它接入点既不使用验证也不对数据加密。除了对数据加密 之外，接入点的可信任度可以影响通信安全。公开的接入点例如是黑 客的目标。对可信任度的检验可以通过交换证书来进行。接入点的可 信任度同样象数据的加密那样在无线传输时列入传输安全性行列。
对于通信安全性而言，除了移动发送/接收装置和接入点的发送/ 接收站之间的传输安全性之外，通信伙伴的可信任度以及通过网络从 外部通信伙伴向无线通信连接的接入点的传输同样都很重要。
在这一层面上也可以对外部通信伙伴进行验证以及对传输的数据 进4亍加密。
总之，在向无线通信连接的发送/接收站进行网络传输时，依据无 线通信连接的传输安全性以及对外部交流伙伴的验证和数据的加密而 产生极为不同的通信状况。但是为了允许大的功能性，需要汽车的各
无线通信连接通信。在这种情况下不可能排除黑客侵入该通信连接。 汽车的各个部件分别这样设计，使得它们应当顶住黑客的攻击。但是 事实表明，尤其是在转换为软件时不可能避免使得黑客能够控制该应 用、即该部件的错误类型。如果黑客将某个部件置于其控制之下，则 他可以通过该部件攻击汽车的其它部件。如果汽车的计算机与黑客通 信，则该黑客可能试图找到在汽车计算机上运行的应用或部件中存在 的安全漏洞。只要黑客找到任何应用或部件中的安全漏洞，他就可以 利用该安全漏洞来控制该特定的应用或部件。黑客就可以利用该受到 传染的应用或部件来进入汽车计算机资源、接口和其它与汽车计算机 连接的、联网的、由计算机保护或基于计算机的汽车部件。"被征服" 或"被黑"的汽车应用可能作为进入踏板来传染汽车计算机上的其它 应用/部件，从而最终进入汽车计算机资源。
由此如果汽车计算机上的很多应用/部件中只有一个应用/部件具 有已被黑客找到的安全漏洞，则黑客可能将该传染的应用用于进入汽 车计算机内的其它应用/装置、资源或部件，或者进入与运行该受传染
应用的计算机连接的部件。
不幸的是，汽车制造商不能保证应用或部件不具有安全漏洞。安 全漏洞可能随时被发现，而且已经证明安全漏洞是软件开发中一种不 可避免的现象。
因此必须假定，在汽车内配备了 WLAN客户机的汽车计算机具有 至少一个已运行的应用/部件，该应用/部件具有至少一个安全漏洞，而 且允许该汽车计算机与公开的接入点(例如停车场、加油站或快餐店 中的WLAN接入点)通信。
此外还要假定，有可能该接入点已经被黑客传染或者是由该黑客 提供的。在这种情况下被传染的接入点有机会完全测试在汽车计算机 上运行的应用/部件以找到可被黑客利用的安全漏洞。

发明内容
因此本发明要解决的技术问题是提供一种方法和装置以及一种通 信系统，利用它们可以在汽车部件和外部通信伙伴之间通过无线通信 连接进行更为安全的通信。
该技术问题按照本发明通过根据权利要求1的方法，根据权利要求13的装置，以及根据权利要求25的通信系统解决。本发明的其它优 选实施方式在从属权利要求中给出。
本发明的基本思想是，汽车的多个部件中的至少一个部件通过无 线通信连接与外部通信伙伴交换数据分组。数据分组不仅理解为离散 数据流的分组，而且理解为连续的数据流。为该无线通信连接确定通 信状态。借助所确定的通信状态决定该至少一个部件和/或外部通信伙 伴是否被允许访问多个部件中的其它部件之一，或者是否被允许与该 其它部件交换数据。这意味着，借助该通信状态来决定是否允许或禁 止这样的数据交换。尤其是提出一种用于保证汽车的多个部件中的至 少一个部件通过无线通信连接与至少一个外部通信伙伴之间安全通信 的方法，其中该多个部件分别包括至少一个用于交换数据的通信模 块，该方法包括在汽车的发送/接收装置和外部发送/接收站之间交换数 据分组，其中确定该无线通信连接的通信状态，并且根据该通信状态 允许或禁止一方面至少一个部件和/或外部通信伙伴和另一方面多个部 件中其它部件之间的数据交换，和/或该至少一个部件和/或外部通信伙 伴对多个部件中其它部件的访问。
此外，提出一种用于保证汽车的多个部件中的至少一个部件通过 无线通信连接与至少一个外部通信伙伴之间安全通信的装置，其中该 多个部件分别包括至少一个用于交换数据的通信模块，该装置包括用 于与外部发送/接收站交换数据分组的汽车的发送/接收装置，其中确定 该无线通信连接的通信状态，并且分别根据该通信状态允许或禁止一 方面至少一个部件和/或外部通信伙伴和另一方面多个部件中其它部件 之间的数据交换和/或该至少一个部件和/或外部通信伙伴对多个部件 中其它部件的访问。
在确定通信状态时可以考虑所有在技术上以及在通信安全方面影 响或确定通信连接的行为。
本发明所提供的优点是，当通信状态表明可能存在安全考虑时禁 止黑客访问汽车的特定的敏感部件。由此明显降低黑客侵入汽车的危 险。
本发明的优选实施方式在于，借助由外部发送/接收站使用的加密 和/或验证来确定所述通信状态。由此保证尤其是由于无线传输而产生 的安全问题在确定该通信状态时得到考虑。
替换或附加的，如果借助由外部通信伙伴使用的加密和/验证来确 定通信状态，则可以更好地确定通信状态。
本发明的优选扩展在于，为了禁止一方面至少一个部件和/或外部 通信伙伴和另一方面多个部件中其它部件之间的数据交换，和/或为了 禁止至少一个部件和/或外部通信伙伴对多个部件中其它部件的访问， 至少停用所述多个部件中其它部件的通信模块。在应用含义下的通信 模块应当理解成为了通过汽车的汽车计算机进行数据交换而设置的那 一部分部件。访问另 一个部件同样应理解为在汽车的汽车计算机上访 问该部件的可执4亍代码或访问该部件的驱动接口或者访问分配给该部 件的其它数据。在各种情况下都可以停用全部部件。例如，如果建立例如从多媒体应用经过公开的、未保护的WLAN接入点到公开的音乐 文档的通信连接，则启用汽车中的诊断部件没有多大意义。这种能够 干预汽车控制元件的诊断部件应当按照意义仅在这样的通信状态下才 启动，即在该通信状态时无线通信连接是安全的，而且也保证是与可 信任的外部通信伙伴通信。
本发明的优选实施方式在于，所述外部发送/接收站包括WLAN接 入点。本发明的另一扩展在于，汽车的发送/接收装置实施为WLAN客 户机。
本发明的优选实施方式在于，多个部件包括在汽车的汽车计算机 上运行的计算机应用。
通信连接的安全保证可以在不同的网络/应用层上进行。开放式系 统互连参考模型(下面称为OSI模型)描述了这些不同的层。OSI模 型的各个层称为OSI层。在现有技术的方法和装置中，在不同的OSI 层中进行验证。从而在WLAN网络中公知在OSI笫2层和第3层中的 验证方法以及加密方法。但是，验证和/或加密可以在OSI第3层或第 4层或甚至在包括OSI第5至7层的多个OSI层中进行，这些层称为应 用层。为了确定应当提供关于通信连接的安全性和通信伙伴的可信任 度的信息的通信状态，各个安全协议在不同OSI层中的不同部件和/或 应用中实现是不利的。因此本发明的优选扩展在于，所有网络/应用层 中、尤其是OSI层中的验证和/或加密由汽车的中央安全部件执行。在 此该安全部件实现不同OSI层中所有需要的验证和/加密机制。其优点 是，可以更容易地确定安全状态，并由此更容易地确定通信状态。另一个优点是，与多个并行工作而且分别在一个或多个网络/应用层(OSI 层)中执行验证/加密的安全部件相比，唯一一个安全部件更容易维护。
由此减少在不同的OSI层中复制各种安全协议。由此总的减少安全部
件内的错误，即验证和加密部件内的错误。
在本发明的优选扩展中，安全部件确定通信状态。
外部通信伙伴例如是在通过网络与发送/接收站通信的外部计算机 上的应用程序。应用程序可以向汽车的用户提供很大的功能性，而汽 车的汽车计算机不需要能够运行该应用程序本身。从而可以由汽车来 使用需要很大的计算代价或很大的数据库、即大容量存储器的应用。
在本发明的优选扩展中，通信状态包括通信安全级别，并且向多 个部件中的各个部件分别分配一个部件安全级别，如果多个部件中其 它部件的部件安全级别小于所确定的通信安全级别，则禁止与多个部 件中其它部件的数据交换和/或禁止访问多个部件中的其它部件。在本 发明的该扩展中，设置通信安全级别的不同情况。然后针对每个通信 安全级别确定允许哪个部件被启动。因此优选的，将每个通信安全级 别对应于相应的部件安全级别。由此保证轻松地管理对各个部件的访 问权限或各个部件的停用或启动可能。
本发明的装置和通信系统的扩展的特征也具有本发明方法的相应 特征的优点。


下面参照附图借助优选实施例详细解释本发明。在此
图1示出集成在汽车中的汽车计算机的示意图，该汽车计算机可 以与外部通信伙伴通信；
图2示出汽车计算机的示意图，其中一个部件被黑客攻击了；
图3示出汽车计算机的示意图和不同的验证和加密方法；
图4示出安全部件的示意图5示出汽车计算机的示意图，其中基于所确定的通信状态禁止 访问其它部件。
具体实施例方式
图l示意性示出汽车计算机l，其可以通过无线通信连接3与外部 通信伙伴2， 2，交换数据分组。汽车计算机l包括总线系统4，其例如 实施为CAN总线系统。此外汽车计算机l包括实施为WLAN客户机5 的发送/接收装置。总线系统4和WLAN客户机5通过操作系统网络层 6 (例如Linux网络层)和操作系统适配层7 (例如Linux适配层)与 虚拟机8连接，该虚拟机优选实施为Java虚拟机。操作系统网络层6 和操作系统适配层7由操作系统(例如Linux )提供。在操作系统网络 层6和操作系统适配层7之间设置不同的协议系列。该协议系列包括互 联网协议系列9和例如CAN总线系列10。在操作系统适配层7和虚拟 机8之间可以设置汽车应用编程接口 11 (汽车API)，通过该接口可 以对总线系统4进行标准化的访问。在虚拟机8上设置开放式服务网关 初始化平台(OSGi平台)12，在该平台中可以运行多个汽车应用13、 13，、 13"。汽车应用可以是本申请范围内的部件。汽车应用13、 13，、 13"还可以是包括附加硬件或软件组成部分的汽车部件的组成部分，这 些附加硬件或软件组成部分通过总线系统4与汽车计算机1连接。汽车 应用13、 13，、 13"分别包括至少一个通信模块，借助该通信模块与多 个汽车应用13、 13，、 13"中的其它汽车应用或者与外部通信伙伴之一2 交换数据。
汽车部件与外部通信伙伴2的安全通信优选在于4个机制。这4 个机制通过大的双箭头18内的4个双箭头14、 15、 16、 17表示，该大 的双箭头代表通过无线通信连接的安全通信。该4个机制包括相互验 证14、交换会话密钥15、仅交换经过签名或经过加密的数据16以及验 证所接收的每个数据分组的来源17。但是还为汽车用户给出这样的应 用，即在这些应用中用户想要与没有实施安全措施的外部通信伙伴2， 连接。这例如在辐射(广播)的范围内提供无偿信息时就是如此。在 此，在外部通信伙伴2，和实施为汽车应用13，的汽车部件之间建立通信 连接，该通信连接包括WLAN客户机5和实施为WLAN接入点19的 发送/接收站之间的无线通信连接3。借助用作端口过滤器的防火墙 20，可以防止外部通信伙伴2'访问汽车1的其它部件。但是如果汽车 应用13，具有安全漏洞，则该汽车应用13，可能被攻击，这通过字母"O" 表示。所述攻击可能通过通信伙伴2或通过接入点19或无线通信连接 3进行，这取决于它们中哪一个被攻击或"被黑"。
如图2所示，包括汽车应用13，的被攻击的部件可能用于对汽车的
包括汽车应用13"的其它部件进行未允许的访问。汽车应用13"例如可 以实施为部件的通信模块，该通信模块的硬件组成部分通过总线系统4 与汽车计算机l连接。对这种部件的攻击用"0"在总线系统4中示出。 在所有图中技术上相同的特征都用相同的附图标记表示。为了防止未 经允许的访问，确定汽车部件和外部通信伙伴2之间的通信连接的通 信状态。将该通信状态用于加大攻击部件的难度或甚至使攻击不可能 进行。
图3示出如图1所示的汽车的汽车计算机1以及不同的加密和验证 可能。在汽车的WLAN客户机5和WLAN接入点"之间既可以进行 验证也可以进行加密，如借助管状通道22示出的。通过无线通信连接 3，在外部通信伙伴2和汽车应用13之间交换的数据加密地在WLAN 客户机5和WLAN接入点19之间传输。因此，WLAN接入点19的可 信任度以及所选择的加密的形式都对通信状态产生影响。替代或附加 于在WLAN接入点19和WLAN客户机5之间的OSI层(OSI层2 ) 中的加密，在外部通信伙伴2，和包括汽车应用13"的汽车部件之间交 换的数据分组可以加密地交换，如借助阴影示出的通信连接25所示。 另外，同样可以对外部通信伙伴2，进行验证，以及对接收的数据分组 的来源进行验证。在另一个外部通信伙伴2，和汽车应用13"之间建立 连接，其中数据分组在传输之前首先被加密，接着在接收器中解密。 外部通信伙伴2，可以是在通过网络26与WLAN接入点19连接的计算 机上运行的应用程序。
借助不同应用的验证和加密机制，可以识别不同的安全状况。这 些状况的一个示例性划分会在下面简要解释。在此，考虑外部通话伙 伴的可信任度、外部发送/接收站的可信任度一通过该外部发送/接收站 建立无线通信连接、以及例如通过加密对无线通信连接的保护。该划 分首先借助外部通信伙伴的可信任度分为各个类别。例如汽车的制造 商拥有最高的可信任度。将制造商分配到类别A中。将可信任的第三 者分配到类别B中，该第三者例如有许可。将不可信任的通信伙伴归 为第三类别C。此外对每个类别赋予一个安全属性，该安全属性受到
全性的影响。如果通信通过可信任的接入点以加密形式进行，则赋予 属性"安全"。如果通信通过仅有限可信任的接入点进行，例如顾客的安全的WLAN接入，则赋予属性"有限安全，，。对其余情况赋予属 性"不安全"，在这些情况中接入是通过不可信任的接入点进行的。 如果外部通信伙伴被分配到类别C中，则即使接入通过可信任的以及 安全的接入点进行，也不能分配属性"安全"。由此在所介绍的分类 系统中总共产生8个安全级别，下面对这些安全级别分别讲述一种通 信状况
类别A-安全针对制造商和汽车部件之间通过可信任的WLAN 网络进行的通信，
类别A-有限安全针对与汽车制造商通过具有有限可信任度的 WLAN网络(汽车所有人的安全的WLAN端子)进行的通信，
类别A-不安全针对与汽车制造商通过不可信任的WLAN网络 (公开的停车场/加油站)进行的通信，
类别B-安全针对与可信任的第三方(例如有许可的软件供应 商)通过可信任的WLAN网络进行的通信，
类别B -有限安全针对可信任的第三者和汽车部件之间通过有限 可信任的WLAN网络进行的通信，
类别B -不安全针对与可信任第三方通过不可信任的WLAN网 络进行的通信，
类别C-有限安全针对与不可信任的第三者(信息的供应者， 与汽车制造商无关而且没有许可)通过可信任的WLAN网络或者通过 具有有限可信任度的WLAN网络进行的通信，
类别C-不安全针对与不可信任的第三方通过不可信任的 WLAN网络进行的通信。
安全级别由中央安全部件确定，该中央安全部件开发所有OSI层 中的验证和/或加密。该安全部件优选实施为软件，但是也可以完全或 部分地实施为硬件。借助图4描述其工作方式。安全部件首先接收验 证请求41。接着识别验证协议42。该验证协议可以依据该验证请求所 来自的OSI层而不同。在OSI层2中例如是WPA协议(无线保护接 入协议)或者EAP - TLS协议(扩展验证协议-传输层安全性)。在 OSI层3中例如是IPSecVPN协议(互联网协议安全虚拟专用网络)。 在OSI层4中例如是SSL协议(安全适配层协议)。接着接收证书， 确定接入点的类别和标识，并发送自己的证书43。然后根据接入点的标识和类别确定安全方针44。该安全方针确定建立了连接的部件以及 外部通信伙伴对其它部件的访问。接着与接入点交换会话密钥45。根 据所采用的协议决定将该会话密钥传向何方46。如果采用OSI层2的 协议，则将该会话密钥传送给WLAN客户机或WLAN卡47。如果是 OSI层3的协议，则将该会话密钥例如传送给IPSec VPN客户机48。 如果验证协议来自第4层，则将会话密钥例如传送给OSGi平台49。 然后不同的安全协议执行验证和/或加密。验证和/或加密全部由安全部 件执行或者至少检查和控制。此外安全部件可以确定外部通信伙伴的 可信任度，以便确定通信状态，尤其是安全级别。通信伙伴的可信任 度通过交换证书来确定。
向可能是汽车的汽车计算机上的汽车应用的各个部件，分别分配 一个部件安全级别。在图5中示出，如何禁止至少一个部件51与其它 部件52的数据交换。这借助叉53表示。允许部件51即使在通信连接 的安全级别较低时也与外部通信伙伴2，通信 由于在此存在当例如无 线通信连接3被黑客操纵时使得至少该部件51遭到攻击的危险，因此 停用其它部件52或至少其通信模块。从而防止外部通信伙伴2，和/或汽 车1的至少一个部件51与其它部件52交换数据或者访问该其它部件 52。从而可靠地防止其它部件52被攻击或者对该其它部件52的未允许 访问。总之实现了特别有利的通信系统。
权利要求
1.一种用于保证汽车的多个部件(51，52)中的至少一个部件通过无线通信连接(3)与至少一个外部通信伙伴(2，2’)之间安全通信的方法，其中该多个部件(51，52)分别包括至少一个用于交换数据的通信模块，该方法包括在汽车的发送/接收装置和外部发送/接收站之间交换数据分组，其特征在于，确定该无线通信连接(3)的通信状态，并且根据该通信状态允许或禁止一方面该至少一个部件(51)和/或外部通信伙伴(2，2’)和另一方面多个部件中其它部件(52)之间的数据交换，和/或该至少一个部件(51)和/或外部通信伙伴(2，2’)对多个部件中其它部件(52)的访问。
2. 根据权利要求1所述的方法，其特征在于，借助由外部发送/ 接收站使用的加密和/或验证来确定所述通信状态。
3. 根据权利要求1或2所述的方法，其特征在于，借助由外部通 信伙伴(2， 2，)使用的加密和/验证来确定通信状态。
4. 根据上述权利要求之一所述的方法，其特征在于，为了禁止一 方面所述至少一个部件(51)和/或外部通信伙伴(2， 2，)和另一方面 多个部件中其它部件(52)之间的数据交换，和/或为了禁止至少一个 部件(51)和/或外部通信伙伴(2， 2，)对多个部件中其它部件(52) 的访问，至少停用所述多个部件中其它部件(52)的通信模块。
5. 根据上述权利要求之一所述的方法，其特征在于，所述外部发 送/接收站包括WLAN接入点(9)。
6. 根据上述权利要求之一所述的方法，其特征在于，汽车的发送 /接收装置实施为WLAN客户机(5)。
7. 根据上述权利要求之一所述的方法，其特征在于，所述多个部 件(51， 52)包括在汽车的汽车计算机(1)上运行的计算机应用。
8. 根据上述权利要求之一所述的方法，其特征在于，所有网络/ 应用层中、尤其是OSI层中的验证和/或加密由汽车的中央安全部件执 行。
9. 根据权利要求8所述的方法，其特征在于，所述安全部件是在 汽车计算机(1)上运行的计算机应用。
10. 根据权利要求8或9所述的方法，其特征在于，所述安全部件确定通信状态。
11. 根据上述权利要求之一所述的方法，其特征在于，所述外部通信伙伴(2， 2，)是在通过网络(26)与发送/接收站通信的外部计算 机上的应用程序。
12. 根据上述权利要求之一所述的方法，其特征在于，所述速信 状态包括通信安全级别，并且为多个部件(51， 52)中的各个部件分 别分配一个部件安全级别，如果多个部件中其它部件(52)的部件安 全级别小于所确定的通信安全级别，则禁止与多个部件中该其它部件(52)的数据交换和/或禁止访问多个部件中的该其它部件(52)。
13. —种用于保证汽车的多个部件(51， 52)中的至少一个部件 通过无线通信连接(3)与至少一个外部通信伙伴(2， 2，)之间安全通 信的装置，其中该多个部件(51, 52)分别包括至少一个用于交换数 据的通信模块，该装置包括用于与外部发送/接收站交换数据分组的汽 车的发送/接收装置，其特征在于，确定该无线通信连接的通信状态， 并且分别根据该通信状态允许或禁止一方面至少一个部件(51)和/或 外部通信伙伴(2， 2，)和另一方面多个部件中其它部件(52)之间的 数据交换，和/或该至少一个部件(51)和/或外部通信伙伴(2， 2，)对 多个部件中其它部件(52)的访问。
14. 根据权利要求13所述的装置，其特征在于，借助由外部发送 /接收站使用的加密和/或验证来确定所述通信状态。
15. 根据权利要求13或14所述的装置，其特征在于，借助由外部 通信伙伴(2， 2，)使用的加密和/验证来确定通信状态。
16. 根据权利要求13至15中任一项所述的装置，其特征在于，为 了禁止一方面所述至少一个部件(51)和/或外部通信伙伴(2， 2，)和 另一方面多个部件中其它部件(52)之间的数据交换，和/或为了禁止 所述至少一个部件(51)和/或外部通信伙伴(2， 2')对多个部件中其 它部件(52)的访问，至少停用所述多个部件中其它部件(52)的通 信模块。
17. 根据权利要求13至16中任一项所述的装置，其特征在于，所 述外部发送/接收站包括WLAN接入点(9)。
18. 根据权利要求13至17中任一项所述的装置，其特征在于，汽 车的发送/接收装置实施为WLAN客户机(5)。
19. 根据权利要求13至18中任一项所述的装置，其特征在于，所 述汽车包括汽车计算机(1)，所述多个部件(51， 52)包括可在汽车 的汽车计算机(1)上运行的计算机应用。
20. 根据权利要求13至19中任一项所述的装置，其特征在于，所 有网络/应用层中、尤其是OSI层中的验证和/或加密由汽车的中央安全 部件执行。
21. 根据权利要求20所述的装置，其特征在于，所述安全部件是在汽车计算机(1)上运行的计算机应用。
22. 根据权利要求13至21中任一项所述的装置，其特征在于，借 助所述安全部件确定通信状态。
23. 根据权利要求13至22中任一项所述的装置，其特征在于，所 述外部通信伙伴(2， 2，)是在通过网络(26)与发送/接收站连接的外 部计算机上的应用程序。
24. 根据权利要求13至23中任一项所述的装置，其特征在于，所 述通信状态包括通信安全级别，并且为多个部件(51， 52)中的各个 部件分别分配一个部件安全级别，如果多个部件中其它部件(52)的 部件安全级别小于所确定的通信安全级别，则禁止与多个部件中该其 它部件(52 )的数据交换和/或禁止访问多个部件中的该其它部件(52 )。
25. —种用于保证汽车的多个部件(51， 52)中的至少一个部件 通过无线通信连接(3)与至少一个外部通信伙伴(2， 2，)之间安全通 信的通信系统，包括根据权利要求13至24中任一项所述的装置，以及 外部发送/接收站，其中该外部发送/接收站包括WLAN接入点(19)。
全文摘要
本发明涉及一种用于保证汽车的多个部件(51，52)中的至少一个部件通过无线通信连接(3)与至少一个外部通信伙伴(2，2’)之间安全通信的方法、装置和通信系统，其中该多个部件(51，52)分别包括至少一个用于交换数据的通信模块。该方法包括在汽车的发送/接收装置和外部发送/接收站之间交换数据分组，其中确定该无线通信连接(3)的通信状态，并且根据该通信状态允许或禁止一方面该至少一个部件(51)和/或外部通信伙伴(2，2’)和另一方面多个部件中其它部件(52)之间的数据交换，和/或该至少一个部件(51)和/或外部通信伙伴(2，2’)对多个部件中其它部件(52)的访问。装置和通信系统设计为执行该方法。
文档编号H04L29/06GK101199183SQ200680021332
公开日2008年6月11日 申请日期2006年5月4日 优先权日2005年6月15日
发明者A·艾贾茨 申请人:大众汽车有限公司