用于在车辆上对用户进行认证的方法和装置与流程

本发明涉及一种用于在车辆上对用户进行认证的方法，其中，车辆能够与存储授权密码的外部装置和存储令牌密码的至少一个令牌(token)耦合。本发明还涉及一种在车辆上对用户进行认证的装置。

背景技术

对车辆进行保护以防未授权人员访问由于日益增长的车辆内部的联网以及车辆与其周围环境的联网而变得越来越重要。为了禁止未授权人员对某些车辆功能进行不希望的访问，应当防止其在车辆上能够被一次地认证为车辆的授权管理员。特别需要安全性的功能、例如使得能够向用户发送数字车辆钥匙的车辆功能，需要该服务的用户既证明其身份又证明关于车辆的所有权，也就是说，在车辆处对服务的用户进行认证。经由认证过程，车辆的授权用户被授权为车辆的主用户，并且被授权对车辆的功能和服务进行使用和管理。在此，特别是必须确保使得未授权人员尽可能难以获得身份和所有权证明所需的信息。

在此，de102012204842a1描述了一种用于对车辆通信和信息系统的用户进行认证的方法。在此，用户可以在服务器上注册便携式装置。为此，将既存储在便携式装置上又存储在服务器上的注册码相互进行比较。

de102016110103a1描述了一种方法，其中，检测移动设备的用于与车辆配对的请求。当检测到第一次或第二次使用第一以及第二车辆钥匙二者来启动车辆时，批准请求。

最后，us9,305,412b2描述了一种用于授权用户打开车辆的方法，其中，操作车辆钥匙的解锁按钮。仅当操作了该解锁按钮时，才能够输入用于打开车辆的pin。

技术实现要素：

本发明要解决的技术问题是，提供一种方法和装置，利用其能够更安全地在车辆上进行认证过程。

根据本发明，上述技术问题通过具有本发明的特征的方法和具有本发明的特征的装置来解决。有利构造和扩展从说明书中得到。

在根据本发明的方法中，当检测到利用至少一个令牌执行的操作动作时，给车辆传输令牌密码。由所传输的令牌密码生成新的密码。将新的密码与认证密码进行比较。当新的密码与认证密码一致时，用户在车辆中经过认证。在此，特别是机密地给车辆传输令牌密码。

根据本发明，术语“令牌”理解为能够存储并传输用于识别和认证的目的的信息的物体。这种物体例如可以是用户的移动终端设备或者车辆钥匙。在此，令牌例如可以经由无线电或者其它无线连接、例如w-lan连接、移动无线电连接或者蓝牙连接与车辆耦合。此外，外部装置理解为未布置在其中用户想要被认证的车辆中的装置。

此外，术语“认证”理解为证明用户的身份。利用根据本发明的方法，仅当用户拥有令牌时，才可以证明用户是车辆的合法用户。根据用户侧的认证请求，对请求进行检查。这意味着，系统检查进行请求的用户是否实际是其声称的用户。系统在该过程中对用户进行认证。在认证的输出为肯定的情况下，授予用户针对车辆功能和服务的特殊权限。用户在该过程中得到授权。

通过根据本发明的方法，有利地使得能够实现，在车辆或车辆的控制设备从外部受到损害(或称为受到操控，kompromittiert)时，不能读出在车辆中进行认证所需的密码。因为密码未存储在车辆中，而是存储在外部装置上。密码根据令牌密码才生成。此外，仅当检测到利用令牌执行的操作动作时，才给车辆传输令牌密码。车辆不能根据未授权人员的请求从令牌请求令牌密码。相反，必须在令牌本身上执行操作动作，以给车辆传输令牌密码。如果用户要在车辆中经过认证，则其必须因此拥有令牌。操作动作在此特别地可以是操作车辆钥匙的解锁按钮。替换地，操作动作也可以是操作用户的移动终端设备上的虚拟或者物理开关按钮。

此外，当用户仅仅拥有令牌时，也是不够的。因为当用户仅仅知道令牌密码时，通过在车辆中生成新的密码是不足以进行认证的。相反，用户还必须处于相关车辆的有效范围内。因此，通过根据本发明的方法，未授权人员有利地难以与车辆无关地在外部装置中被证明为车辆的合法用户。

在根据本发明的方法的另一个设计方式中，车辆能够与至少两个令牌耦合，其中，在第一令牌中存储第一令牌密码，并且在第二令牌中存储第二令牌密码。当检测到利用第一令牌执行的操作动作时，给车辆传输第一令牌密码。当检测到利用第二令牌执行的操作动作时，给车辆传输第二令牌密码。然后，通过组合第一和第二令牌密码生成新的密码。为了生成新的密码，在这种情况下需要操作多个令牌、特别是至少两个令牌。为了在车辆中经过认证，用户因此必须拥有两个令牌。如果令牌是车辆钥匙，则车辆所有者必须随身携带进行认证所需的所有车辆钥匙，以便在车辆中进行认证，然后执行特别是与安全性相关的过程。在车辆的正常运行中，车辆所有者仅随身携带一个车辆钥匙，以打开车辆并且与车辆所有者一起行驶。如果车辆钥匙从其被盗，则尽管如此，未授权人员也不能在车辆中进行注册，因为没有进行认证所需的其它令牌。所述方法可以扩展到任意数量的令牌。然而，在此，应当不超过特定数量的令牌，以便进一步提供用户友好的方法。

令牌密码特别地可以是数字、字母和/或特殊字符的序列。令牌密码特别地是随机排列的字母或数字序列。此外，令牌密码可以是例如随机地排列成序列的数字、字母和特殊字符的组合。数字序列在此特别地可以是二进制字符串。在此，令牌密码在工厂中制造车辆时就已经存储在车辆钥匙中。在此，令牌密码实际上仅对于存储其的车辆钥匙是已知的。

特别是，第一和第二令牌密码彼此不同。由此保证即使未授权人员拥有令牌中的一个并且未授权人员得到了令牌密码，未授权人员也不能单独使用该令牌密码进行认证。

此外，可以借助计算操作由至少一个令牌密码生成新的密码。计算操作在此例如是确定的。此外，计算操作可以是级联(konkatenation)、置换(permutation)、xor(异或)连结、and(与)连结、应用“keyderivationfunction(密钥推导函数)”和/或求哈希值(hashwertbildung)。

在此，可以将所有提及的计算操作任意相互组合。因此，可以首先将令牌密码级联，然后对级联的令牌密码应用哈希值函数。此外，可以首先将令牌密码级联、然后进行置换，或者首先进行置换、然后级联。此外，也可以将级联和/或置换与xor和/或and连结组合。

在根据本发明的方法的另一个设计方式中，以加密的方式给车辆传输至少一个令牌密码。如果仅利用一个令牌执行所述方法，则以加密的方式给车辆传输存储在该令牌中的令牌密码。如果传输更多个令牌密码、特别是两个令牌密码，则也可以仅以加密的方式给车辆传输这些令牌密码中的一个。替换地，可以以加密的方式传输存在的所有令牌密码。在此，可以利用同一密钥对每一个令牌密码进行加密。然后，车辆例如可以通过同时传输令牌身份在令牌之间进行区分。替换地，也可以通过自己的密钥对每一个令牌密码进行加密。然后，在车辆侧存储同一密钥/相同的密钥来进行解密。这种方法是对称加密方法。替换地，也可以利用非对称加密方法使用公钥和私钥对令牌密码进行加密。此外，可以使用所有已知的加密方法来对令牌密码进行加密。

特别是，将至少一个令牌密码仅一直存储在车辆中，直到生成新的密码为止。如果仅利用一个令牌执行所述方法，则因此将在该令牌中存储的令牌密码仅一直存储在车辆中，直到生成新的密码为止。在此，仅临时在车辆中存储令牌密码。因此，令牌密码仅尽可能短时间地存在于车辆的存储器中。如果使用多个令牌，则所有存在的令牌密码也可以仅一直存储在车辆中，直到生成新的密码为止。如果车辆或车辆的控制设备受到损害，则在此能够读出生成认证密码所需的令牌密码的概率非常低。

此外，新的密码可以一直存储在车辆中，直到将新的密码与认证密码进行了比较为止。由此有利地保证在进行比较之后将能够用来在车辆中进行认证的密码又从车辆的存储器中删除。由此保证新的密码仅在短时间内存储在车辆中。如果车辆或车辆的控制设备从外部受到损害，则能够读出新的密码的概率非常低。

在另一个设计方式中，将新的密码传输到外部装置，以进行比较。当新的密码与认证密码一致时，则外部装置给车辆传输表明用户可以经过认证的信号。于是，比较不在车辆中进行，而在外部装置中进行。

特别是，新的密码仅一直存储在车辆中，直到将新的密码传输给外部装置为止。由此可以保持与认证密码对应的新的密码存在于车辆中的时间段尽可能短。由此，能够读出认证密码的概率进一步降低。因此，未授权人员有利地难以与车辆独立地在外部装置中被证明为车辆的合法用户。

在另一个设计方式中，直接在生成新的密码之后或者期间，生成改变的新的密码，其中，新的密码仅一直存储在车辆中，直到生成改变的新的密码为止。因此，即使改变的新的密码与认证密码的实际比较持续几分钟，也不需要在该持续时间内将新的密码存储在车辆中。相反，新的密码又可以立即被删除。特别是，可以通过使用新的密码作为加密函数的输入参数，来改变新的密码。在此，新的密码可以直接在其生成之后或者在其生成时就已经输入到加密函数中。特别是，可以利用新的密码对给外部装置发送的消息进行签名。为此，将要签名的消息和新的密码一起作为输入参数输入到加密函数中。由此，虽然新的密码存储在车辆中，但是不能由第三方读出。此外，可以使用所有已知的加密方法来改变新的密码。

此外，外部装置可以给车辆传输随机码，在改变新的密码时将该随机码一起包含在内。此外，然后改变的新的密码仅在特定时间段内有效，以便在外部装置中认证为主用户。在车辆每一次请求时，外部装置均生成新的随机码，在改变新的密码时一起使用该随机码。于是在车辆每一次向外部装置请求对主用户进行认证时，均需要不同的改变的新的密码。如果改变的新的密码被未授权人员读出，则其在重新进行请求时不再有效。由此能够有利地再一次提高认证过程的安全性。

本发明还涉及一种用于在车辆处对用户进行认证的装置。所述装置包括能够存储认证密码的外部装置和能够存储令牌密码的至少一个令牌。此外，所述装置包括检测装置，借助检测装置能够检测利用至少一个令牌执行的操作动作，其中，当检测到利用令牌执行的操作动作时，能够给车辆传输令牌密码。此外，所述装置包括控制装置，控制装置能够与外部装置和令牌耦合，其中，控制装置包括第一计算装置，借助第一计算装置能够由令牌密码生成新的密码。此外，所述装置包括第二计算装置，借助第二计算装置能够将新的密码与认证密码进行比较，其中，当新的密码与第一密码一致时，用户能够在车辆中得到认证。根据本发明的装置特别是被构造为用于实现前面描述的根据本发明的方法。所述装置由此具有与根据本发明的方法相同的优点。

特别是，车辆能够与至少两个令牌耦合，其中，在第一令牌中能够存储第一令牌密码，并且在第二令牌中能够存储第二令牌密码。在此，第一和第二令牌密码可以相同。然后，为了区分令牌，例如可以使用令牌身份。替换地，第一和第二令牌密码也可以彼此不同。

此外，外部装置可以是外部服务器。在此，车辆可以经由受保护的网络与外部服务器耦合。特别是，车辆可以经由w-lan连接、移动无线电连接或者蓝牙连接、特别是蓝牙le连接与外部服务器连接。对新的密码与认证密码进行比较的第二计算装置在此布置在服务器中。比较因此不在车辆中进行，而在服务器侧进行。

在根据本发明的装置的另一个设计方式中，至少一个令牌是车辆钥匙。特别是，认证需要的所有令牌都是车辆钥匙。替换地，令牌也可以是用户的移动终端设备。特别地，第一令牌可以是车辆钥匙，而第二令牌可以是移动终端设备。由此，不需要用户随身携带多个车辆钥匙来进行认证。

此外，本发明涉及一种具有根据本发明的装置的车辆。

附图说明

现在，借助实施例参考附图对本发明进行说明。

图1示出了具有根据本发明的装置的实施例的车辆，

图2示出了根据本发明的方法的实施例，以及

图3示出了根据本发明的方法的实施例的流程图。

具体实施方式

参考图1和2，说明具有根据本发明的装置1的实施例的车辆5。

在此，装置1包括用户接口3，其例如设计为触摸敏感的显示表面。借助用户接口3，用户可以进行对车辆5的所有设置。可以对基本功能、例如还有舒适功能进行设置。此外，可以经由在车辆5中的用户接口3证明用户是合法用户。

装置1还包括令牌t1和t2。在具体情况下，令牌t1和t2是车辆钥匙。车辆钥匙t1和t2在车辆制造商的工厂中已经被教导给车辆5。这意味着，车辆5知道车辆钥匙t1和t2并且接受由车辆钥匙t1和t2发出的信号来打开车门或者启动发动机。在此，车辆钥匙t1包括解锁按钮8.1，并且车辆钥匙t2包括解锁按钮8.2。解锁按钮8.1和8.2在正常运行中用于解锁车辆5。在此，用户通常仅随身携带两个车辆钥匙中的一个t1或t2。此外，解锁按钮8.1和8.2被设计为检测装置，其检测用户何时对其进行了操作。此外，在车辆钥匙t1中存储第一令牌密码c1，并且在车辆钥匙t2中存储第二令牌密码c2。在此，令牌密码c1和c2在将车辆钥匙t1和t2教导给车辆5时已经存储在车辆钥匙t1和t2中。现在，如果用户为了在车辆5上进行认证的目的而操作解锁按钮8.1或8.2，则这被检测到，并且以加密的方式给车辆5传输令牌密码c1和c2。

此外，装置1包括控制装置7。控制装置7又包括第一计算装置4。在此，在第一计算装置4中存储有计算操作ro，借助其可以根据接收到的令牌密码c1和c2生成新的密码ck、即所谓的组合密码。

在车辆5的控制装置7本身中不存储密码。这具有如下优点：当车辆5、特别是车辆5的控制装置7受到损害时，未授权人员不能读出允许在车辆5中命名为主用户的密码。

此外，装置1包括外部装置2，其设计为外部服务器。在当前情况下，“外部”意为服务器不布置在车辆5中。服务器2例如布置在车辆制造商处。在此，车辆5能够与外部服务器2耦合。特别是，车辆5可以借助控制装置7经由至少一个接口9、例如w-lan、移动无线电或者蓝牙接口与外部服务器2连接。借助接口9给外部服务器2传输新的密码ck。外部服务器2也不知道存储在车辆钥匙t1和t2中的令牌密码c1和c2。在外部服务器2中存储有用于将用户认证为车辆5的主用户的认证密码ca。此外，外部服务器2包括第二计算装置6，借助其将新的密码ck与认证密码ca进行比较。然后，可以在进行比较之后经由接口9给车辆5的控制装置7发送表明用户是否可以被认证为主用户的信号s。如果新的密码ck和认证密码ca相同，则给车辆5的控制装置7发送表明用户可以被认证为主用户的信号s。否则，给车辆的控制装置7发送表明用户不能被认证为主用户的信号s。

参考图2和3，说明根据本发明的方法的实施例。

在根据本发明的方法的步骤10中，用户以已知的方式经由用户接口3在车辆5中进行登记。为了进行登记，用户借助触摸敏感的表面输入用户标识和属于该用户标识的密码。在用户接口3的显示表面上显示菜单，借助该菜单可以对车辆功能进行操作。

在步骤11中，用户选择菜单项“成为主用户”。

在步骤12中，要求用户操作车辆钥匙t1和t2的解锁按钮8.1和8.2。操作的顺序在此不重要。可选地，向用户显示教导给车辆5的车辆钥匙的数量。

首先，在步骤13中，检测到对车辆钥匙t1的解锁按钮8.1进行了操作。随后，给车辆5的控制装置7发送存储在车辆钥匙t1中的令牌密码c1。为此，对令牌密码c1进行加密。通过加密，在车辆钥匙t1和控制装置7之间建立安全通道k1，从而在传输期间不能截取令牌密码c1。

然后，在步骤14中，检测到对车辆钥匙t2的解锁按钮8.2进行了操作。车辆钥匙t2又以加密的方式给车辆5发送存储在其中的令牌密码c2。通过加密，又在车辆钥匙t2和车辆5的控制装置7之间建立安全通道k2。由此避免在发送期间能够从外部拦截并且读出令牌密码c2。

在本实施例中，令牌密码c1和c2相同。一般来说，令牌密码c1和c2也可以彼此不同。

对令牌密码c1和c2的加密在此可以通过对称或非对称加密方法进行。在当前情况下，利用相同的密钥对两个令牌密码c1和c2进行加密。然后传输加密的令牌密码c1‘和c2‘。然而，令牌密码c1‘和c2‘的区别在于其令牌身份。替换地，利用第一密钥对令牌密码c1进行加密，并且利用第二密钥对令牌密码c2进行加密。然后传输加密的令牌密码c1‘和c2‘，其区别不仅在于其令牌身份、而且在于对其应用的密钥。密钥对于控制装置7是已知的，从而控制装置7可以在车辆侧对密码c1和c2进行解密。

用于对令牌密码进行加密的密钥在此例如又可以是代码。替换地，令牌密码也可以是加密函数的输入参数。此外，附加地或者替换地，可以使用用户的生物测量特征来对令牌密码t1和t2进行加密。在此，特别是可以想到借助指纹进行加密。在此，在对解锁按钮进行操作时，令牌t1和t2检测到用户的指纹，并且与存储在车辆5中的指纹的二进制显示的导数(ableitung)进行比较。然后，将其与令牌密码c1和c2一起例如嵌入加密函数中。

在步骤15中，在控制装置7中通过计算操作ro将令牌密码c1和c2彼此组合。生成新的密码ck。一旦生成了新的密码ck，则又将令牌密码c1和c2从控制装置4中删除。因此，令牌密码c1和c2对于控制装置7、由此对于车辆5仅仅是临时可用的。由此防止当控制装置7从外部受到损害时，令牌密码c1和c2未存储在那里，由此在事先未对两个车辆钥匙t1和t2的解锁按钮8.1和8.2进行操作的情况下，不能用于生成新的密码ck。

此外，直接在生成新的密码ck之后，生成改变的新的密码ck‘。为此，将新的密码ck例如用作加密函数的输入参数。特别是给外部服务器传输消息。利用新的密码ck对该消息进行签名。为此，将消息本身和新的密码ck输入到加密函数中。这意味着，又可以将新的密码ck立即从车辆5的存储器中删除。此外，通过新的密码ck的这种改变，建立安全通道kk，用于向外部服务器2进行传输。

此外，在改变新的密码ck时，可以使用在车辆5向外部服务器2请求时由外部服务器2生成并且给车辆5传输的随机数。这种改变的新的密码ck‘于是在特定持续时间内有效。然而，特别地，在重新进行请求时，借助随机数生成的改变的新的密码ck‘失效。因为在车辆5每一次进行请求时，外部服务器2生成新的随机数。由此，在每一次请求时均需要不同的改变的新的密码ck‘。

在步骤16中，给外部服务器2传输改变的新的密码ck‘。一旦完全传输了改变的新的密码ck‘，则将其从控制装置7的存储器中删除。由此，改变的新的密码ck‘对于车辆5也仅是临时可用的。由此，同样避免在车辆5的控制装置7受到损害时，能够读出改变的新的密码ck‘。然后，外部服务器2可以从改变的新的密码ck‘中滤出新的密码ck并且与认证密码ca进行比较。

如果不改变新的密码ck，则通过以加密的方式传输新的密码ck来建立安全通道kk。由此又避免在传输期间能够从外部拦截并且读出新的密码ck。

在步骤17中，将新的密码ck与在外部服务器2上针对车辆5存储的认证密码ca进行比较。

如果新的密码ck和认证密码ca一致，则在步骤18中外部服务器2给车辆5发送用来表明用户可以被认证为主用户的认证信号s。

在步骤19中，针对用户释放所有可用的服务。特别是，这涉及具有特别高的安全级别的车辆服务。例如，可以向人员发送数字车辆钥匙。为了禁止未授权人员任意发送数字钥匙，由此车辆5可能轻易被盗，需要对这种服务分配高安全级别。

如果新的密码ck和认证密码ca不一致，则外部服务器2向控制装置4发送用来表明用户不能被认证为主用户的非认证信号s。

根据本发明的方法可以扩展到任意数量的令牌tn。然后，要求用户对进行认证所需的所有令牌t1至tn的解锁按钮进行操作。在这种情况下，给车辆5的控制装置7传输n个令牌的所有令牌密码c1至cn。将其通过计算操作组合为新的密码ck。

附加地或者替换地，为了对令牌密码c1和c2进行加密和/或为了生成改变的新的密码ck‘，如已经关于令牌密码c1和c2的加密说明的，可以使用授权用户的生物测量特征。

根据本发明的方法同样也可以仅利用一个令牌t1来执行。然后，仅要求用户对令牌t1的解锁按钮8.1进行操作。然后，仅给车辆5的控制装置7传输令牌密码c1。然后，根据令牌密码c1生成新的密码ck。然后，通过求哈希值或者应用“keyderivationfunction”生成新的密码ck。

然而，优选根据本发明的方法利用两个令牌t1和t2来执行。这不仅有利地产生提高的安全性，而且使得所述方法保持用户友好。如果用户必须在车辆5中一起采用多于两个的令牌，则用户遗忘令牌或者丢失令牌的风险提高。

此外，令牌t1至tn也可以是用户的移动终端设备或者车辆钥匙和用户的移动终端设备的组合。在此，例如nfc腕带、nfc环、nfc链、智能手表、智能电话和/或生物芯片适合作为移动终端设备。例如，令牌t1可以是车辆钥匙，而使用用户的移动电话或者便携式计算机作为令牌t2。然后，为了传输第二令牌密码c2，要求用户对其移动终端设备的按键进行操作。

附图标记列表

1装置

2外部装置；外部服务器

3用户接口

4第一计算装置

5车辆

6第二计算装置

7控制装置

8.1,8.2解锁按钮

9接口

10–20方法步骤

c1,c2,cn令牌密码

ck新的密码

ck‘改变的新的密码

ca认证密码

k1,k2,kn通道

ro计算操作

s信号

t1,t2,tn令牌；车辆钥匙