通信保护方法与流程

1.本发明涉及一种根据如权利要求1的前序部分所详细限定的类型的用于保护在至少两位参与者之间的通信的方法。本发明还涉及根据如权利要求9所详细限定类型的这种方法的用途。


背景技术：

2.在两位或更多的参与者/用户之间的被相应保护的通信的方法就此已由现有技术公开。一般是这样的：每位参与者具备一个身份标识符例如用户姓名、用户识别码等以及具备通信保护手段例如口令保护账户等。真正的通信保护于是在技术上以加密方式进行。口令为此等同于“密钥”。
3.这种做法的问题通常是存在如下严重风险，即，参与者的数据例如其身份标识符和口令被盗用。非法黑客于是可能顶替原有参与者而与其它参与者联络，并且可能因为其已知身份标识符和其已知口令而被认为他是真正期待的参与者。一般常见的且代替口令也可以利用其它手段例如像存储介质等的验证形式一般被用于许多类型的通信。但如上述例子所示，它在用户数据为他人知晓、偷窃或被黑客攻击的情况下并不安全。


技术实现要素：

4.本发明的任务现在是指明一种用于参与者之间的通信的改善的保护，其通过其他验证而针对被偷窃或被黑客攻击的参与者数据的情况也提供高的安全性。
5.根据本发明，该任务通过一种具有权利要求1中的特征的方法来完成。所述特征的有利设计和改进来自其从属权利要求。在权利要求9中还指明用于该方法的特别优选的用途。
6.在根据本发明的用于保护两位参与者之间的通信的方法中是这样的，即，参与者就像在现有技术中那样具备身份标识符例如用户识别码、顾客编号等。另外，参与者具备例如借助个人身份证号(pin)、口令等的通信保护。因此两位参与者原则上能够加密通信。但存在上述问题，即，在身份标识符和口令等失窃的情况下非法者可能顶替其中一位参与者。由此可能出现显著损害，因为例如有害软件可能被放入系统中。如果该系统例如是机动车，则由此出现在交通安全和参与者安全方面的显著缺点。
7.因此根据本发明是这样的，至少其中一位参与者除了其身份标识符外还将其位置作为物理特征传输给另一位参与者。该特征无法真实篡改，因为一位参与者只能仅位于一个地点。该参与者将该地点传输给另一位参与者。与此同时，另一位参与者还以并行方式询问其当时对方、在此是第一参与者的位置，而无需该第一参与者的干预，例如通过借助卫星导航的主动定位。第二参与者现在已具有由另一位参与者传输的数据组和一个在无需其干预、或许甚至无需其知晓的情况下所查询的数据组。这两个数据组和在此尤其是第一参与者的位置因此可以由另一位参与者相应比较。若两者一致，则所传输的位置可被相应地验证。因为该附加传输的物理特征，可以针对其是正确的情况而假定第一参与者实际上是预
期参与者。因此可以实现高保护水平，并且黑客“入侵”并且相应滥用通信的危险可被相对可靠地排除。
8.因此如果例如一个车辆控制系统想要上传与交通安全性相关的更新，则它可以通过本发明方法依据其位置的物理特征验证对方(的身份)。因此能高概率地防止黑客向其提供经过篡改的可能导致安全性问题等的软件。
9.在此，本发明方法的一个很有利的设计规定，参与者相互验证彼此的位置。这使得该方法很安全。
10.在此根据该构想的一个很有利的改进方案是这样的，即，在通信过程中与自身位置的传输一起自动传输一个时间戳。基于该时间戳，于是可以简单高效地处理相应信号，以因此计算从各自参与者经由多颗导航卫星至另一位参与者的、或者在它们离得太远时经由一个或多个一般呈卫星控制中心形式的中继站的信号渡越/延迟时间。
11.在此，不同的卫星系统有不同的要求。例如，对于目前主要在亚太地区使用的北斗卫星导航系统，主动定位属于其服务提供范围，因此可以通过卫星导航系统简单地主动查询其他参与者的位置。其他卫星系统无法直接提供此功能。但它仍可以被使用，做法是根据本发明方法的一个有利改进方案，当前另一位参与者的位置从参与者与导航卫星之间的信号渡越时间中依据时间戳被计算。由此可以相应准确地计算信号渡越时间。在此，根据该构思的一个有利改进方案，若在计算中包含/使用尤其四颗导航卫星，则得到各自参与者位置的很精确图像。
12.于是可以将该位置与由参与者所传输的位置进行比较以确认保护。如果它们不一致或者如果所述一致在误差范围之外或者在或许因其中一位参与者的运动而产生的范围之外，则应该假定的是询问并非来自参与者本身、而是来自例如黑客，其虽访问了账户但不知道参与者在当前时刻的实际停留地点。在此情况下，通信保护无法被确认，故未实现通信，因此潜在的黑客不能使用参与者账户。
13.依据参与者的相互距离，数据传输可以借助导航卫星就像计算那样直接进行。但这也能够通过一个或多个中继站、尤其是作为服务供应商的卫星控制中心来达成，或者相应的位置可以由该服务供应商提供。
14.根据本发明方法的一个极其有利的改进方案，现在还可以规定，利用地图数据对所传输的和/或所确定的位置进行验证。由此可以实现进一步的安全等级。在利用地图数据验证位置时，例如可以考虑的是所传输的和/或所确定的位置例如相应不同于前不久或在最后通信范围内所传输的和/或所确定的位置。如果该偏差在小的行程区域内，则这估计是不危险的。但如果偏差的距离足够大而使得参与者极有可能无法在两次通信之间的时间内驶过该距离，则这也已经表明参与者账户被黑客攻击且参与者自身没有参与通信。
15.在此，在借助地图数据进行验证时，根据该构思的一个有利的改进方案，可以利用地点、在存储的地点与当前地点之间的距离和/或时间。除了上面已提到的例子，地点也可被设定为很安全或不安全。如果例如在服务供应商与作为参与者的车辆之间建立通信，则例如工厂、车辆拥有者的自己的车库等可被标记为安全的地点。另一方面，例如车辆无法到达的地点可以被设定为不合逻辑且因此是不适于确认的地点，例如山区、没有可供车辆行驶的道路的地区等。
16.在此，可以进行根据本发明的方法以保护任何类型的参与者之间的通信，以便因
此借助于呈其位置形式的参与者物理特征来验证各种类型账户。在此，该方法特别好地适用于保护车辆制造商的服务中心与由其制造的车辆之间的通信。与之相应，根据本发明方法的一个有利的用途而规定，该方法被用于保护在车辆或服务器与车辆之间的通信。由此可以构建相应安全的通信，由此能保证关于传输数据的很高安全性。根据本发明的方法因此允许提供基本无篡改的可能方式，用以例如将重要信息从车辆制造商的服务器传输给车辆，例如包含安全性相关内容的软件更新，它们例如包含驾驶功能、司机辅助系统、自主驾驶功能等。根据本发明用途的一个很有利的改进方案，可以与之相应地规定，它被用于传输软件更新。
17.本发明还涉及一种可实现该方法的计算机程序产品。
附图说明
18.本发明的方法的其它有利设计也来自以下参照图所详细说明的实施例，在此示出：
19.图1示出用于保护通信以及使用借助本发明方法的保护的示例性过程，
20.图2示出在使用卫星控制中心情况下的用于定位的场景，
21.图3示出不使用卫星控制中心的替代场景。
具体实施方式
22.在图1的图示中以多个不同的前后相继步骤示意性示出本发明的方法可如何发挥功能和加以利用。在图1的图示的左侧示出了呈车辆1形式的参与者1，在图1的图示的右侧示出有作为参与者2的例如车辆制造商的服务中心2或其后端服务器。车辆1具备与作为参与者2的服务中心的借助相应账户的通信。其身份标识符(id)例如可以是车辆识别号。它在此处所示的实施例中是v1。另外，作为参与者的车辆1具备pin，其在此单纯示例性地用n5来指明。作为第二参与者的服务中心2也具备id，其在此用s2示例性指明。服务中心2的pin用n6示例性指明。还有就是，两位参与者1、2处于一个对应的位置，即，处于一个地理位置。该位置在车辆1为参与者的情况下用p3指明，在服务中心2为参与者的情况下用p4指明。
23.在第一步骤100中，现在从服务中心2起将询问发送至具有身份标识符v1的车辆1，例如伴随软件更新到期的通知。作为参与者的具有身份标识符v1的车辆1现在通过其具有身份标识符v1和相应的pin的账户构建与服务中心的通信，并且询问谁从第一步骤100发出了该消息。这在图1的图示中是第二步骤200。现在在服务中心2的区域内发生第三步骤300，在第三步骤中，该服务中心连同其身份标识符和时间戳t8一起传输其当前位置p4。所述数据在第四步骤400中被传输给车辆1。在第五步骤500中，车辆1现在例如基于时间戳t8和在服务中心2与至少四颗随后还详述的卫星3.1、3.2、3.3和3.4之间的信号渡越时间以及或许在使用卫星控制中心4的情况下计算服务中心2的物理位置pp4。于是在第五步骤500后可以检查如此计算的位置pp4是否对应于所传输的位置p4。如果是，则所述通信被相应地验证/确认，并且作为应对，在第六步骤600中汇总自身的位置连同自身的id和自身的时间戳9，并且在第七步骤700中与车辆1侧的确认证明一起发送至服务中心2。如果p4和pp4不一致，则在步骤610中由车辆1中断通信。
24.接着在第八步骤800中也在服务中心2侧进行在第五步骤500中在车辆1处完成的
检查。服务中心2因此在在此用800标示的第八步骤中以相同的方式确定相同的数据，并且接着在车辆v1不能主动影响值的确定的情况下得到所计算的位置pp3。所述位置因此是可靠的，其与车辆1是否被黑客攻击无关，就像之前的服务中心2的位置pp4一样。如果在步骤900中所确定的位置pp3和所传输的位置p3又彼此一样，则也在服务中心2侧进行确认，而这在第十步骤1000中被传输给车辆。否则在步骤910中出现中断。
25.在两位参与者1、2的肯定确认/验证之后，接着可以例如在在此用1100表示的步骤中以双向通信的形式进行受到保护的通信。通信安全性相应高，因为如在说明书的前言中已描述地，黑客入侵通信因为呈参与者1、2位置形式的物理特征检查而近似不可能或只能极其费力地实现。于是在通信范围内可以在第十步骤1000中例如将软件更新从服务中心2加载至车辆1。在此可能的是用仅适用于当前通信的一次性密钥来保护该通信，从而在通信结束后该密钥在误入他人之手的情况下也几乎无价值。
26.在图2的图示中现在能看到第一场景。如已经解释地，在此相应示出了在所示地球5上的作为两位参与者的车辆1和服务中心2。在地球5上方的太空中示出四颗单独的卫星3.1、3.2、3.3和3.4。此外，在地球5上的两位参与者1、2之间有卫星控制中心4，其在此作为一种中继站和服务供应商被纳入通信中。为了现在确定各自另一位参与者的位置，例如服务中心2通过位于其上方的卫星3.3、3.4发送简短问询至控制中心4：“请向在位置p3处的车辆1告知我在哪里”。在控制中心4，现在依据在服务中心2与卫星3.4之间的以及在服务中心2与卫星3.3之间的数据渡越时间来确定服务中心的位置，并且在此处所示的实施例中通过卫星3.1相应地传输给车辆1。车辆1于是将如此通过控制中心4获得的位置用作位置pp4并且将其与直接由服务中心2例如通过移动数据通信所传输的位置p4相比较。
27.在图3的图示中再次示出同一场景，而卫星控制中心4在此不必介入。服务中心2在此连同自身时间戳和自身id发送消息给车辆1，优选通过其中四颗卫星3.1、3.2、3.3和3.4。卫星将消息和相应信号转发给车辆1，其现在自动依据经由这些卫星的信号渡越时间能计算服务中心2的位置、即根据图1的图示的位置pp4。
28.此时是这样的：在如在图2的图示中能看到的场景中，卫星控制中心4扮演主动角色，因为它本身从服务中心2与卫星3.3、3.4之间的信号渡越时间借助已知的自身位置来精确确定并相应转发服务中心位置。作为其替代方式显然也可以想到在该场景中采取与在图3的场景中相似的做法。卫星服务中心4于是仅具有中继站功能，而并不具有服务供应商的功能。于是，数据将会相应转发且带有自己的时间戳来随后代替在先的时间戳，以便能以适当的方式直接在参与者1、2处进行计算。
29.在两种场景下，现在对于车辆1可能的是将这两个位置相应比较，即，相应执行在图1的图示中用500标示的步骤并且又反向发送数据，以便可以允许服务中心2在步骤800中可以采取与之相同的操作。如果所有位置p3、p4都被正确确认，则现在能安全通信，而与非授权参与者通信的危险不会很高。