-
Die Erfindung betrifft ein Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs, wobei das Steuergerät für den Nutzbetrieb des Kraftfahrzeugs relevante Nutzfunktionen und informationstechnologische Sicherheitsmaßnahmen bereitstellende Embedded-Sicherheitsfunktionen bereitstellt, wobei die Sicherheitsfunktionen wenigstens eine in einem Speichermittel des Steuergeräts bereitgestellte Sicherheitsinformation nutzen, wobei für einen nach Abschluss der Produktion des Kraftfahrzeugs genutzten Normalbetriebsmodus des Steuergeräts wenigstens ein Normalsicherheitsinformationsdatensatz, der zum Abschluss des Produktionsvorgangs zu einem Einspielzeitpunkt in das Speichermittel eingespielt wird, verwendet wird. Daneben betrifft die Erfindung ein Steuergerät.
-
Moderne Kraftfahrzeuge nutzen für die Bereitstellung verschiedener Nutzfunktionen eine Mehrzahl von, insbesondere miteinander kommunizierenden, Steuergeräten, die beispielsweise bestimmten Fahrzeugsystemen zugeordnet sein können. Beispiele sind Motorsteuergeräte, als Nutzfunktionen die Motorsteuerung bereitstellen, Bremsensteuergeräte, die entsprechend für die Ansteuerung der Bremsen sorgen, aber auch Fahrerassistenzfunktionen und Safety-Funktionen bereitstellende Steuergeräte. Bei solchen Steuergeräten handelt es sich um sogenannte eingebettete Systeme (Embedded Systems). Die Steuergeräte können untereinander beispielsweise mittels eines Bussystems, beispielsweise eines CAN-Busses, und dergleichen, kommunizieren. Mit fortschreitender Elektronisierung bzw. Digitalisierung in Kraftfahrzeugen steigt auch das Risiko von Angriffen, beispielsweise zur Modifizierung der Funktionalität, zum Abfangen von Daten oder deren Modifikation und/oder zur Störung oder gar Zerstörung von Komponenten des Kraftfahrzeugs. Um gegen derartige Angriffe gefeit zu sein, sind in modernen Steuergeräten neben den beschriebenen Nutzfunktionen, welche beispielsweise durch eine Nutzrecheneinheit bereitgestellt werden können, üblicherweise auch Security-Funktionen, also informationstechnologische Sicherheitsmaßnahmen bereitstellende Sicherheitsfunktionen, implementiert, die hier aufgrund ihrer Verwendung in eingebetteten Systemen zur Herstellung von „Embedded Security“ als Embedded-Sicherheitsfunktionen bezeichnet werden sollen. Derartige Embedded-Sicherheitsfunktionen betreffen beispielsweise die Verschlüsselung und sonstige kryptografische Absicherungsmaßnahmen, Eindringschutz und Eindringdetektion („intrusion detection and prevention“), den Ausschluss von Aftermarket-Vorrichtungen von Drittanbietern bzw. sonstigen Modifikationen, beispielsweise Verstellungen, in Steuergeräten und dergleichen. Beispielsweise können die Embedded-Sicherheitsfunktionen durch eine entsprechende Sicherheitsrecheneinheit in einer geschützten Ausführungsumgebung bereitgestellt werden. Die Nutzrecheneinheit befindet sich dann häufig außerhalb dieser geschützten Ausführungsumgebung.
-
Embedded-Sicherheitsfunktionen, also Security-Funktionen, erfordern neben der eigentlichen Software- und/oder Hardwareumsetzung des Algorithmus zusätzliche passende Sicherheitsinformationen, insbesondere wenigstens einen Schlüssel, die den aufeinander abgestimmten Betrieb der Sicherheitsfunktionen ermöglichen, aber auch deren Funktionsumfang und/oder den Funktionsumfang von Nutzfunktionen betreffen können, genau wie den Funktionsumfang von Kommunikationsfunktionen, die beispielsweise durch eine Kommunikationsschnittstelle bereitgestellt werden können. Während die Sicherheitsfunktionen selbst üblicherweise bereits von Werk aus, also mit Bereitstellung des Steuergeräts zur Verwendung in einem zu produzierenden Kraftfahrzeug, aktiviert sind, wird ein für den Normalbetrieb in einen Normalbetriebsmodus geeigneter Normalsicherheitsinformationsdatensatz, der insbesondere entsprechendes Schlüsselmaterial enthalten kann, während der Produktion, insbesondere zum Ende des Produktionsvorgangs, erst eingespielt.
-
Die Steuergeräte erfordern also, um voll funktionsfähig arbeiten zu können, die entsprechenden Sicherheitsinformationen, insbesondere auch im Hinblick auf die Wechselwirkung mit anderen Embedded-Sicherheitsfunktionen anderer Steuergeräte. Während der Produktion eines Kraftfahrzeuges wird es durch unterschiedliche Verbauzustände und die zwar bereits mit Bereitstellung, beispielsweise Zulieferung, aktivierten Embedded-Sicherheitsfunktionen, jedoch zumindest teilweise ohne passendes Schlüsselmaterial, erschwert bzw. sogar unmöglich gemacht, notwendige Inbetriebnahmen durchzuführen, was zu Schwierigkeiten bei bestimmten Produktionsvorgängen führen kann. Ist es beispielsweise während des Produktionsvorgangs vorgesehen, die Scheinwerfer des Kraftfahrzeugs einzustellen, müssen diese aktivierbar sein, also leuchten können. Ähnliches gilt, wenn die Spur des Kraftfahrzeugs eingestellt werden soll, da dann ein Drehen der Räder möglich sein muss. Aktivierte, jedoch bis zu bestimmten Zeitpunkten noch nicht mit den geeigneten Sicherheitsinformationen versehene Embedded-Sicherheitsfunktionen reduzieren in diesem Zusammenhang eine Flexibilität des Produktionsvorgangs, insbesondere hinsichtlich durchzuführender Aktionen und deren Zeitpunkt, erheblich und verkomplizieren die Produktionsplanung und die Produktionsdurchführung. In diesem Zusammenhang ist allerdings eine zu frühe Freischaltung der Embedded-Sicherheitsfunktionen und somit auch der Nutzfunktionen in vollem Umfang meist ebenso nicht gewünscht, sei es aus Safety-Gründen oder aber auch hinsichtlich befürchteten unerlaubten Zugriffen und Manipulationen.
-
DE 10 2016 224 580 B3 betrifft ein Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs, wobei die Funktionstüchtigkeit des Betätigungsschalters in Abhängigkeit eines mehrerer Betriebsmodi auf unterschiedliche Weise durch das Steuergerät ermittelt werden soll. Dabei kann ein Produktionsmodus für den Betätigungsschalter vorgesehen werden, indem das Steuergerät ein Betätigungssignal des Schalters auswertet, aber vorzugsweise nicht weiter gibt. So kann beispielsweise ein unbeabsichtigtes Betätigen einer Parkbremse verhindert werden.
-
DE 10 2005 026 849 A1 betrifft eine Vorrichtung und ein Verfahren zur Übertragung von nutzerindividuellen Daten. Dabei soll ein erstes Steuergerät, in dem nutzerindividuelle Daten gespeichert sind, über einen Datenbus mit weiteren Steuergeräten verbunden sein, welche andere Komponenten nutzerindividuell ansteuern. Um auch ohne das Vorliegen von nutzerindividuellen Daten bereits einen definierten allgemeinen Anfangszustand bereitzustellen, können am Produktionsende Initialisierungsdaten in dem Steuergerät gespeichert werden. Der Anfangszustand ist bei einem Verkehrsmittel der Zustand, in dem die Komponente am Produktionsende eingestellt wird.
-
DE 10 2008 061 957 A1 betrifft ein Verfahren und eine Anordnung zum Steuern eines Transportmodus in einem Fahrzeug. Hierbei soll der Transportmodus in einem aktivierten Zustand mindestens eine vorgegebene Fahrzeugfunktion und/oder mindestens ein Fahrzeugsystem in einen vorgegebenen Zustand setzen, wobei der Transportmodus des Fahrzeugs durch einen vorgegebenen ersten manuellen Betätigungsablauf, der über eine Mensch-Maschine-Schnittstelle des Fahrzeugs eingegeben wird, in den aktivierten Zustand gesetzt wird. Insbesondere soll hierdurch ein Missbrauch des Fahrzeugs und dessen Komfort- und Unterhaltungskomponenten in der Transportkette verhindert werden und ein optimierts Energiemanagement bereitgestellt werden, so dass die Fahrzeugqualität während der Transportkette in Bezug auf eine Batterie und das Gesamtfahrzeug gewährleistet werden kann.
-
Der Erfindung liegt die Aufgabe zugrunde, eine Möglichkeit zur Erhöhung der Flexibilität des Produktionsvorgangs eines Kraftfahrzeugs anzugeben, insbesondere im Hinblick auf die Durchführung von Nutzfunktionen wenigstens teilweise einsetzenden Aktionen während des Produktionsvorgangs.
-
Zur Lösung dieser Aufgabe ist bei einem Verfahren der eingangs genannten Art erfindungsgemäß vorgesehen, dass zur Bereitstellung eines eine Nutzung von Nutzfunktionen vor dem Einspielzeitpunkt in einem vordefinierten Umfang erlaubenden Produktionsbetriebsmodus ein Produktionssicherheitsinformationsdatensatz für die aktivierten Sicherheitsfunktionen in das Speichermittel eingespielt wird, wobei bei Erfüllung einer Beendigungsbedingung für den Produktionsbetriebsmodus zu dessen irreversibler Deaktivierung ein irreversibles Schaltmittel des Steuergeräts in eine Deaktivierungsstellung geschaltet wird.
-
Eine grundlegende Idee der vorliegenden Erfindung ist es, eine wirkliche Aktivschaltung von Embedded-Sicherheitsfunktionen (Security-Funktionen) bezüglich des Normalbetriebsmodus erst am Produktionsende vorzusehen, wobei jedoch zuvor ein Produktionsbetriebsmodus bereitgestellt wird, der auf die im Rahmen des Produktionsvorgangs vorzunehmenden Aktionen, die die Nutzfunktion wenigstens teilweise benötigen, abgestellt ist, mithin einen vordefinierten, insbesondere gegenüber dem Normalbetriebsmodus beschränkten Umfang der Nutzbarkeit der Nutzfunktionen bereitstellt. Für den Normalbetriebsmodus ist der Normalsicherheitsinformationsdatensatz dann so zusammengestellt, dass der volle kundenseitig vorgesehene Umfang der Nutzfunktionen bereitsteht.
-
Um für den Produktionsbetriebsmodus einen Missbrauch oder Probleme zu vermeiden, ist dieser einmalig, so dass insbesondere das Schaltmittel vorgesehen ist, das einen Zustandswechsel zurück in den Produktionsbetriebsmodus sicher verhindern kann. Der Produktionsbetriebsmodus wird hierbei durch den Produktionssicherheitsinformationsdatensatz, konkret die darin enthaltenen Produktionssicherheitsinformationen, definiert und unter dessen Auswertung konfiguriert, wobei dieser Produktionssicherheitsinformationsdatensatz bereits seitens des Herstellers des Steuergeräts in dem Steuergerät bereitgestellt werden kann, oder aber auch im Rahmen des Produktionsvorgangs vor bzw. bei Einbau des Steuergeräts. Auf diese Weise wird hinsichtlich eines für Aktionen beim Produktionsvorgang benötigten Funktionsumfangs der Nutzfunktionen und somit auch der Sicherheitsfunktionen, die diesen beeinflussen, ab einem frühen Zeitpunkt im Produktionsvorgang, insbesondere mit Einbau des Steuergeräts, eine Grundfunktionalität bereitgestellt, die es erlaubt, entsprechende Aktionen, beispielsweise Einstellvorgänge und/oder Überprüfungsvorgänge, die sich auf von den Nutzfunktionen angesprochene Komponenten des Kraftfahrzeugs beziehen können, bei der Produktionsplanung deutlich flexibler im Produktionsablauf zu verorten. Dies vereinfacht nicht nur die Produktionsplanung, sondern auch den Produktionsvorgang an sich, da beispielsweise Verbauzustände und Ressourcen verbessert eingesetzt werden können.
-
Nutzfunktionen können dabei insbesondere Steuerfunktionen und/oder Regelfunktionen und/oder Auswertungsfunktionen, insbesondere für den Fahrbetrieb des Kraftfahrzeugs und/oder für den Benutzer bereitzustellende Funktionalitäten, gegebenenfalls auch bezüglich Peripheriekomponenten, sein. Sicherheitsfunktionen können beispielsweise Verschlüsselungsfunktionen, Kommunikationsfunktionen, Überwachungsfunktionen, Angriffsdetektions- und Angriffsabwehrfunktionen („intrusion detection and prevention“) und/oder Authentifizierungsfunktionen umfassen.
-
Der Produktionsbetriebsmodus ist, wie bereits dargelegt, nur einmalig für den Produktionsvorgang verfügbar und wird daher insbesondere spätestens mit dem Abschluss des Produktionsvorgangs irreversibel deaktiviert. Mithin sieht eine zweckmäßige Weiterbildung der vorliegenden Erfindung vor, dass die Beendigungsbedingung bei Eintreten des Einspielzeitpunkts erfüllt ist. Dabei kann in Ausführungsbeispielen insbesondere vorgesehen sein, dass der Einspielzeitpunkt den Abschluss des Produktionsvorgangs markiert. Das bedeutet, die vollständige Verfügbarkeit der Sicherheitsfunktionen und insbesondere auch der Nutzfunktionen wird bis zum Abschluss des Produktionsvorgangs des Kraftfahrzeugs hinausgezögert. Auf diese Weise kann sichergestellt werden, dass das Kraftfahrzeug erst nach dem tatsächlichen Abschluss der Produktion „kundenbereit“ ist. Ein Ausnutzen zu früh freigeschalteter Funktionsumfänge wird vermieden.
-
Ist diese Beendigungsbedingung erfüllt, werden also die Normalsicherheitsinformationen des Normalsicherheitsinformationsdatensatzes in das Speichermittel eingespeichert, beispielsweise als Serien- und/oder Kundenzertifikat, wird der Produktionsbetriebsmodus irreversibel deaktiviert und der Normalbetriebsmodus wird aktiviert. Die Irreversibilität wird dabei durch das Schaltmittel bereitgestellt, bei dem es sich im Allgemeinen beispielsweise um eine elektronische Sicherung, beispielsweise eine eFuse, handeln kann. Derartige elektronische Einmal-Schaltmittel sind im Stand der Technik grundsätzlich bereits bekannt und können auch im Rahmen der vorliegenden Erfindung vorteilhaft eingesetzt werden. Durch das Schaltmittel wird hardwaretechnisch verhindert, dass absichtlich oder unabsichtlich der Produktionsbetriebsmodus, beispielsweise durch Einspielen eines neuen Produktionssicherheitsinformationsdatensatzes, wieder aktiviert wird.
-
Dabei ist es im Rahmen der vorliegenden Erfindung besonders bevorzugt, wenn das Einspielen des Normalsicherheitsinformationsdatensatzes in jedem Fall den Produktionsbetriebsmodus beendet und den Normalbetriebsmodus aktiviert. Insbesondere zusätzlich ist es im Rahmen der vorliegenden Erfindung mit besonderem Vorteil jedoch auch denkbar, dass der Produktionssicherheitsinformationsdatensatz eine wenigstens eine Ablaufbedingung beschreibende Zertifikatsinformation umfasst, wobei die Beendigungsbedingung bei Erfüllung der Ablaufbedingung erfüllt ist. Das bedeutet, in dem Produktionssicherheitsinformationsdatensatz kann bereits eine zeitliche und/oder räumliche Ablaufdauer codiert sein, um sicherzustellen, dass nur/ausschließlich die für die Produktion notwendigen Funktionsumfänge der Nutzfunktionen innerhalb einer sehr (zeitlich und/oder räumlich) begrenzten Nutzungsdauer verfügbar sind. Mit anderen Worten wird sichergestellt, dass nicht versehentlich Kraftfahrzeuge mit aktiviertem Produktionsbetriebsmodus im Umlauf geraten, beispielsweise ein Werk, in dem der Produktionsvorgang stattfindet, verlassen.
-
Konkret kann vorgesehen sein, dass als Ablaufbedingungen ein Entfernen aus einem insbesondere geodätisch definierten Produktionsgebiet und/oder ein Ablauf einer Zeitspanne und/oder der Abschluss wenigstens einer produktionsbezogenen, auf die Nutzfunktionen bezogenen Produktionsaktion verwendet werden. Mithin kann beispielsweise vorgesehen werden, dass der Produktionsbetriebsmodus nur an bestimmten geodätisch definierten Positionen genutzt werden kann, mithin bei Verlassen des entsprechenden Produktionsgebiets (irreversibel) beendet wird. Auch der Ablauf einer Zeitspanne kann überwacht werden, so dass beispielsweise der Produktionsbetriebsmodus nur für die Zeitspanne, beispielsweise höchstens einen Monat bzw. höchstens zwei Wochen, aktiviert sein kann und nach Ablauf der Zeitspanne deaktiviert wird. Auch kann überwacht werden, ob produktionsrelevante Aktivitäten durchgeführt wurden. Wurden nämlich alle Aktionen während des Produktionsvorgangs, die die Nutzfunktionen des Steuergeräts benötigen, abgeschlossen, ist deren Verfügbarkeit auch nicht länger erforderlich, so dass der Produktionsbetriebsmodus beendet werden kann. Um dies festzustellen, können beispielsweise auch Kommunikationsinformationen und/oder Diagnoseinformationen, beispielsweise in der Sicherheitsrecheneinheit und/oder in einer Auswertungseinheit, die dem Produktionsbetriebsmodus zugeordnet ist, überwacht werden. Selbstverständlich können diese Ablaufbedingungen auch in Kombination verwendet werden.
-
Insbesondere im Zusammenhang mit Ablaufbedingungen kann der Produktionssicherheitsinformationsdatensatz auch als eine Art „Produktionszertifikat“ verstanden werden, das in seiner Nutzung zeitlich und/oder räumlich begrenzt ist. Wie bereits erwähnt, kann ein solches Produktionszertifikat, also im Allgemeinen der Produktionssicherheitsinformationsdatensatz, beispielsweise bereits vom Hersteller des Steuergeräts eingespielt werden bzw. nach Erhalt des Steuergeräts beim Hersteller des Kraftfahrzeugs.
-
Eine zweckmäßige Weiterbildung der Erfindung kann auch vorsehen, dass als eine zusätzliche Beendigungsbedingung der Versuch eines zweiten Einspielens eines Produktionssicherheitsinformationsdatensatzes verwendet wird. Auf diese Weise können Manipulationen im Hinblick auf beispielsweise eine versuchte Verlängerung der Nutzung des Produktionsbetriebsmodus verhindert werden.
-
Dabei sei an dieser Stelle noch angemerkt, dass durch die vorliegende Erfindung, auch wenn der Produktionsbetriebsmodus ungewollt, beispielsweise zu früh, beendet wird, keine Verschlechterung gegenüber dem Status Quo des Standes der Technik eintritt, sondern lediglich das Grundproblem, dass zwar aktivierte, jedoch noch nicht mit abschließenden Sicherheitsinformationen (den Normalsicherheitsinformationen) versehene Sicherheitsfunktionen das Durchführen bestimmter Aktionen bzw. Aktivitäten während des Produktionsvorgangs erschweren, wieder bestehen würde. Im Normalablauf jedoch stellt der Produktionsbetriebsmodus eine deutliche Verbesserung dar.
-
In einer konkreten Ausgestaltung des Steuergeräts kann vorgesehen sein, dass das Schaltmittel, das Speichermittel, eine die Beendigungsbedingung auswertende Auswertungseinheit und eine die Sicherheitsfunktionen ausführende Sicherheitsrecheneinheit von einer geschützten Ausführungsumgebung des Steuergeräts, insbesondere einer Trusted Execution Environment (TEE) und/oder einem Hardware-Sicherheitsmodul (HSM), umfasst sind. Eine die Nutzfunktionen ausführende Nutzrecheneinheit ist dabei außerhalb dieser geschützten Ausführungsumgebung vorgesehen. Das Steuergerät kann ferner auch eine insbesondere ebenso außerhalb dieser geschützten Ausführungsumgebung vorgesehene Kommunikationsschnittstelle umfassen. Die Nutzung einer geschützten Ausführungsumgebung stellt eine weitere Manipulationssicherheit bereit. Hierbei ist es grundsätzlich denkbar, dass die Auswertungseinheit in die Sicherheitsrecheneinheit integriert ist. Die Auswertungseinheit und/oder die Sicherheitsrecheneinheit können wenigstens teilweise als Logikschaltungen, mithin insbesondere hardwarebasiert, vorgesehen werden.
-
Insbesondere kann es sich bei dem Steuergerät auch um ein Ein-Chip-System handeln bzw. das Steuergerät kann ein Ein-Chip-System umfassen. Dann ist es insbesondere denkbar, die geschützte Ausführungsumgebung als einen Teilbereich des Ein-Chip-Systems bereitzustellen, während die Nutzrecheneinheit und/oder die Kommunikationsschnittstelle als ein weiterer Anteil des Ein-Chip-Systems realisiert werden können.
-
Im Allgemeinen kann in diesem Zusammenhang vorgesehen sein, dass der Produktionsbetriebsmodus und der Normalbetriebsmodus wenigstens teilweise durch Setzen von Flags in der geschützten Ausführungsumgebung eingestellt werden. Das Setzen von Flags kann durch die Auswertungseinheit und/oder die Sicherheitsrecheneinheit erfolgen und auf der Auswertung des entsprechenden Sicherheitsinformationsdatensatzes basieren. Diese Flags können beispielsweise auch gezielt definieren, welcher Funktionsumfang der Nutzfunktionen bereitgestellt werden soll, beispielsweise im Fall des Produktionsbetriebsmodus wenigstens teilweise den vordefinierten Funktionsumfang einstellen.
-
Allgemein gesagt kann gemäß der vorliegenden Erfindung auch vorgesehen sein, dass durch den vordefinierten Umfang der Nutzung der Nutzfunktionen, der durch den Produktionssicherheitsinformationsdatensatz beschrieben wird, eine Nutzfunktionsbeschränkung und/oder -erweiterung des Funktionsumfangs der Nutzfunktionen gegenüber dem Normalbetriebsmodus vorgegeben wird. Dabei werden die meisten Vorgaben für den vordefinierten Umfang, insbesondere alle Vorgaben, Beschränkungen der Nutzfunktionen gegenüber dem Normalbetriebsmodus sein. So kann sichergestellt werden, dass nur für den Produktionsvorgang, insbesondere entsprechende Aktionen, benötigte Funktionalitäten der Nutzfunktionen freigeschaltet werden, welche entsprechende je nach Funktionsvorgang entsprechend auszuwählen sind. Wird beispielsweise, wie beschrieben, mit Flags gearbeitet, können beispielsweise nur ein Teil der für den Normalbetriebsmodus vorgesehenen Flags gesetzt werden, um den entsprechenden vordefinierten, aber gegenüber dem Normalbetriebsmodus eingeschränkten, Umfang freizuschalten.
-
Allgemeiner kann auch gesagt werden, dass die Nutzfunktionsbeschränkung und/oder -erweiterung durch eine in dem Produktionssicherheitsinformationsdatensatz enthaltene, zu einer Modifikation des Funktionsumfangs der Sicherheitsfunktionen führenden, von diesen genutzten Produktionssicherheitsinformation und/oder durch wenigstens eine insbesondere mittels der Auswertungseinheit bereitgestellte Beschränkungs- und/oder Erweiterungsfunktion umgesetzt wird. In manchen Fällen kann es denkbar sein, dass eine Beschränkung des Funktionsumfangs der Sicherheitsfunktionen bereits zu einer korrespondierenden, gewollten Nutzfunktionsbeschränkung führt. Entsprechendes kann auch bei weniger bevorzugten Nutzfunktionserweiterungen gelten. In einem Großteil der Fälle wird jedoch eine insbesondere mittels der Auswertungseinheit bereitgestellte Beschränkungs- und/oder Erweiterungsfunktion genutzt werden, um den vordefinierten Umfang wie gewollt einzustellen. Beispielsweise können durch die Beschränkungs- und/oder Erweiterungsfunktion entsprechende Flags, wie beschrieben, gesetzt werden.
-
In Weiterbildung der vorliegenden Erfindung kann ferner vorgesehen sein, dass bei einem mit anderen Steuergeräten des Kraftfahrzeugs kommunizierenden Steuergerät ein mit den Produktionssicherheitsinformationsdatensätzen der Kommunikationspartner abgestimmter, die Kommunikation zumindest teilweise erlaubender Produktionssicherheitsinformationsdatensatz eingespielt wird. Das bedeutet, die Produktionssicherheitsinformationsdatensätze und somit die Produktionsbetriebsmodi unterschiedlicher Steuergeräte desselben Kraftfahrzeugs können aufeinander abgestimmt sein, beispielsweise, indem übereinstimmende, insbesondere auf die Produktionsbedingungen angepasste Schlüssel in den jeweiligen Produktionssicherheitsinformationen hinterlegt werden und auf diese Weise eine Kommunikation der Steuergeräte untereinander, zumindest insoweit sie für die Aktivitäten während des Produktionsvorgangs benötigt wird, hergestellt werden. Beispielsweise können einem Hersteller der Steuergeräte entsprechende Produktionssicherheitsinformationsdatensätze vorgegeben werden, die dann auf die zu liefernden Steuergeräte entsprechend aufzuspielen sind.
-
Wie bereits angemerkt, kann allgemein vorgesehen sein, dass die Sicherheitsinformationen wenigstens einen Schlüssel umfassen. Als Schlüssel wird in der Verschlüsselungstechnik eine Sicherheitsinformation bezeichnet, die einen Verschlüsselungsalgorithmus parametrisiert und ihn so steuert. Dabei können beispielsweise Kommunikationspartner, beispielsweise zwei unterschiedliche Steuergeräte, jeweils die Schlüssel des anderen Kommunikationspartners kennen, um eine verschlüsselte Kommunikation mittels wenigstens einer der Sicherheitsfunktionen zu ermöglichen. Schlüssel können auch im Rahmen von Authentifizierungsvorgängen, die auch durch Sicherheitsinformationen abgebildet werden können, eingesetzt werden. Insbesondere werden hierbei Verschlüsselungstechniken eingesetzt, in denen öffentliche und private Schlüssel eingesetzt werden.
-
Neben dem Verfahren betrifft die vorliegende Erfindung auch ein Steuergerät für ein Kraftfahrzeug, aufweisend eine Nutzrecheneinheit zur Bereitstellung von für den Nutzbetrieb des Kraftfahrzeugs relevanten Nutzfunktionen, eine Kommunikationsschnittstelle und eine geschützte Ausführungsumgebung des Steuergeräts, insbesondere eine Trusted Execution Environment (TEE) und/oder ein Hardware-Sicherheitsmodul (HSM), wobei die geschützte Ausführungsumgebung eine Sicherheitsrecheneinheit zur Bereitstellung informationstechnologische Sicherheitsmaßnahmen bereitstellender Embedded-Sicherheitsfunktionen und ein Speichermittel für von den Sicherheitsfunktionen zu nutzende Sicherheitsinformation aufweist. Ein derartiges Steuergerät zeichnet sich erfindungsgemäß nun dadurch aus, dass die geschützte Ausführungsumgebung ferner aufweist:
- - eine Auswertungseinheit zur Auswertung wenigstens einer in einem einen Produktionsbetriebsmodus, der die Nutzung von Nutzfunktionen vor einem Einspielzeitpunkt eines einem Normalbetriebsmodus zugeordneten Normalsicherheitsinformationsdatensatzes in das Speichermittel in einem vordefinierten Umfang erlaubt, definierenden Produktionssicherheitsinformationsdatensatz für die aktivierten Sicherheitsfunktionen enthaltenen Deaktivierungsbedingung und
- - ein irreversibel in eine Deaktivierungsstellung schaltbares Schaltmittel zur irreversiblen Deaktivierung des Produktionsbetriebsmodus bei erfüllter Deaktivierungsbedingung.
-
Sämtliche Ausführungen bezüglich des erfindungsgemäßen Verfahrens lassen sich analog auf das erfindungsgemäße Steuergerät übertragen, welches mithin für die Ausführung des erfindungsgemäßen Verfahrens eingerichtet ist. Insbesondere kann die Auswertungseinheit auch wenigstens teilweise in die Sicherheitsrecheneinheit integriert sein und/oder die Auswertungseinheit und/oder die Sicherheitsrecheneinheit können ausgebildet sein, insbesondere durch Setzen von Flags, durch Auswertung des Produktionssicherheitsinformationsdatensatzes bzw. des Normalsicherheitsinformationsdatensatzes den Produktionsbetriebsmodus respektive den Normalbetriebsmodus einzustellen.
-
Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnungen. Dabei zeigen:
- 1 einen Ablaufplan eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens,
- 2 eine Prinzipskizze eines erfindungsgemäßen Steuergeräts, und
- 3 eine Prinzipskizze eines Kraftfahrzeugs.
-
1 zeigt einen Ablaufplan eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens. Dabei liegt in einem Schritt S1 ein hergestelltes Steuergerät für ein Kraftfahrzeug vor. Das Steuergerät, welches beispielsweise als ein Ein-Chip-System bzw. ein solches umfassend realisiert sein kann, weist eine Nutzrecheneinheit zur Bereitstellung von Nutzfunktionen auf. Derartige Nutzfunktionen werden im Nutzbetrieb des Kraftfahrzeugs eingesetzt und können beispielsweise Steuerfunktionen und/oder Regelfunktionen und/oder Auswertungsfunktionen sein. Häufig dienen die Nutzfunktionen zur Ansteuerung anderer Komponenten des Kraftfahrzeugs, beispielsweise des Motors, der Bremsen, von Anzeigemitteln, Beleuchtungseinrichtungen und dergleichen.
-
Um die informationstechnologische Sicherheit des Steuergeräts gewährleisten zu können, mithin die „Embedded Security“, ist ferner in einer geschützten Ausführungsumgebung auch eine Sicherheitsrecheneinheit vorgesehen, die den Nutzfunktionen bzw. allgemein dem Steuergerät zugeordnete Embedded-Sicherheitsfunktionen (also informationstechnologische Sicherheitsfunktionen) bereitstellt, beispielsweise Verschlüsselungsfunktionen, Authentifizierungsfunktionen, Angriffsdetektionsfunktionen, Angriffsabwehrfunktionen und dergleichen. Die Sicherheitsfunktionen nutzen insbesondere wenigstens einen Schlüssel umfassende Sicherheitsinformationen, die in einem Speichermittel in der geschützten Ausführungsumgebung gespeichert werden können. Im hier diskutierten Grundzustand sind die Sicherheitsinformationen bereits aktiviert, jedoch liegen keine Sicherheitsinformationen vor, so dass die grundsätzlich zwar vorhandenen bzw. aufspielbaren Nutzfunktionen aber nicht einsetzbar sind.
-
Daher wird im Schritt S1 nun, insbesondere bereits seitens des Herstellers des Steuergeräts oder aber seitens des Herstellers eines mit dem Steuergerät herzustellenden Kraftfahrzeugs, ein Produktionssicherheitsinformationsdatensatz in das Speichermittel eingespielt. Dieser Produktionssicherheitsinformationsdatensatz enthält neben Schlüsseln, um die aktiven Sicherheitsfunktionen zumindest teilweise nutzbar zu machen, eine Definition eines Produktionsbetriebsmodus sowie diesem Produktionsbetriebsmodus zugeordnete Ablaufbedingungen, die eine räumliche und/oder zeitliche Begrenzung der Nutzung des Produktionsbetriebsmodus beschreiben.
-
In einem Schritt S2 wird der Produktionsbetriebsmodus dann eingestellt. Hierzu ist in der geschützten Ausführungsumgebung eine Auswertungseinheit vorgesehen, die wenigstens teilweise eine Hardware-Logikschaltung umfasst und wenigstens teilweise mit der Sicherheitsrecheneinheit integriert realisiert sein kann. Die Auswertungseinheit stellt nun den bereitgestellten Funktionsumfang der Sicherheitsfunktionen und Nutzfunktionen definierende Flags in der geschützten Ausführungsumgebung durch eine Beschränkungsfunktion ein. Denn im vorliegenden Ausführungsbeispiel ist der Produktionsbetriebsmodus so definiert, dass die Nutzfunktionen (und auch Sicherheitsfunktionen) gegenüber einem Normalbetriebsmodus, bei dem dann die für das fertige Kraftfahrzeug vorgesehenen Normalsicherheitsinformationen vorliegen, nur in einem eingeschränkten, vordefinierten Umfang nutzbar sind.
-
Der vordefinierte Umfang ist anhand eines Produktionsvorgangs des Kraftfahrzeugs definiert, genauer anhand von bezüglich der Nutzfunktionen durchzuführender Aktivitäten/Aktionen, so dass der vordefinierte Umfang gerade ausreichend ist, um diese Aktionen erfolgreich durchführen zu können. Derartige Aktionen können beispielsweise Einstell- und/oder Überprüfungsaktionen sein. Im Beispiel eines Lichtsteuergeräts, bei dem Scheinwerfer als Einstellaktion ausgerichtet werden sollen, kann es notwendig sein, die Scheinwerfer ein- und ausschalten zu können, wobei komplexere Funktionalitäten wie die Ansteuerung bestimmter Lichtmuster gegebenenfalls nicht notwendig sind und im Produktionsmodus deaktiviert bleiben können. Nach dem entsprechenden Setzen der Flags können also, gegebenenfalls unter Nutzung der als Produktionssicherheitsinformation in dem Speichermittel vorliegenden Schlüssel, durch die Sicherheitsfunktionen erlaubt, Nutzfunktionen in dem vordefinierten, eingeschränkten Umfang genutzt werden.
-
Schritt S3 zeigt an, dass nun der Produktionsbetriebsmodus aktiv ist, so dass nach Verbau des Steuergeräts in dem herzustellenden Kraftfahrzeug die Aktionen während des Produktionsvorgangs entsprechend durchgeführt werden können. Dabei sei in diesem Zusammenhang noch darauf hingewiesen, dass, falls Kommunikationen mit anderen Steuergeräten erforderlich ist, der Produktionssicherheitsinformationsdatensatz mit den Produktionssicherheitsinformationsdatensätzen der anderen, auch im Produktionsbetriebsmodus betriebenen Steuergeräte hinsichtlich beispielsweise der enthaltenen Schlüssel derart abgestimmt ist, dass die Kommunikation in dem erforderlichen Umfang möglich ist.
-
Während der Aktivität des Produktionsbetriebsmodus gemäß Schritt S3 überprüft die Auswertungseinheit ständig in einem Schritt S4, ob eine Deaktivierungsbedingung für den Produktionsbetriebsmodus erfüllt ist. Dabei existieren vorliegend drei Arten von Deaktivierungsbedingungen.
-
Als erste Deaktivierungsbedingung wird ständig überprüft, ob ein dem Normalbetriebsmodus zugeordneter Normalsicherheitsinformationsdatensatz eingespielt wird, was vorliegend zum Abschluss des Produktionsvorgangs geschieht. Dann wird der Produktionsbetriebsmodus beendet und der Normalbetriebsmodus hergestellt, der dann auch die volle vorgesehene Verfügbarkeit der Nutzfunktionen liefert und die serienmäßigen bzw. kraftfahrzeugspezifischen Schlüssel als Normalsicherheitsinformation einsetzt. Dieses Umschalten des Betriebsmodus im Schritt S5 wird durch ein Schalten eines Schaltmittels in der geschützten Ausführungsumgebung in eine irreversibel eingenommene Deaktivierungsstellung begleitet. Bei dem Schaltmittel handelt es sich um ein Hardware-Schaltmittel, beispielsweise eine elektronische Sicherung wie eine eFuse. Durch das entsprechende Schalten des Schaltmittels mittels der Auswertungseinheit wird sichergestellt, dass der Produktionsbetriebsmodus nicht wieder aktiviert werden kann, sei es absichtlich oder unabsichtlich. Auch wenn nun erneut ein Produktionssicherheitsinformationsdatensatz eingespielt würde, würde der Produktionsbetriebsmodus aufgrund der irreversiblen Befindlichkeit des Schaltmittels in der Deaktivierungsstellung nicht erfolgen.
-
Im Schritt S6 wird dann das Steuergerät im fertig hergestellten Kraftfahrzeug im Normalbetriebsmodus betrieben.
-
Eine zweite Art von Deaktivierungsbedingung überprüft, ob eine die zeitliche und/oder räumliche Begrenzung der Nutzbarkeit des Produktionsbetriebsmodus beschreibende Ablaufbedingung, die in dem Produktionssicherheitsinformationsdatensatz enthalten ist, erfüllt ist. Als Ablaufbedingung kann beispielsweise überprüft werden, ob eine bestimmte Zeitspanne abgelaufen ist oder ob das Steuergerät aus einem geodätisch definierten Produktionsbereich hinausbewegt wird. Möglich ist es zudem, als Ablaufbedingung seitens der Überwachungseinheit zu überprüfen, ob die Aktionen des Produktionsvorgangs, für die die Nutzfunktionen benötigt wurden, bereits erledigt sind. Auch in diesem Fall kann der Produktionsbetriebsmodus wieder (irreversibel) deaktiviert werden. Anders ausgedrückt ist die Deaktivierungsbedingung dann erfüllt, wenn wenigstens eine der Ablaufbedingungen erfüllt ist. Dann wird in einem Schritt S7 der Produktionsbetriebsmodus deaktiviert und ebenso das Schaltmittel irreversibel zum Schalten in die Deaktivierungsstellung angesteuert. Nachdem jedoch noch keine Normalsicherheitsinformationen vorliegen, wird der Normalbetriebsmodus noch nicht aktiviert.
-
Hierzu wird zunächst in einem Schritt S8 überwacht, ob der Normalsicherheitsinformationsdatensatz eingespielt wurde, wobei dieser, sobald dies geschehen ist, in einem Schritt S9 aktiviert wird, insbesondere, wie bereits beschrieben, durch Setzen der entsprechenden Flags in der geschützten Ausführungsumgebung. Dann wird wieder mit Schritt S6 fortgefahren und das Steuergerät wird im Normalbetriebsmodus betrieben.
-
Eine dritte Art von Deaktivierungsbedingung ist dann erfüllt, wenn bei aktivem Produktionsbetriebsmodus versucht wird, einen neuen Produktionssicherheitsinformationsdatensatz einzuspielen. Auch dann kommt es im Schritt S8 zu einer Aktivierung des Produktionsbetriebsmodus sowie zum irreversiblen Schalten des Schaltmittels in die Deaktivierungsstellung und es kann dann ebenso mit Schritt S8 fortgefahren werden.
-
2 zeigt eine Prinzipskizze eines erfindungsgemäßen Steuergeräts 1. Das Steuergerät 1 weist eine Kommunikationsschnittstelle 2 zur Kommunikation mit anderen Steuergeräten und/oder Komponenten des Kraftfahrzeugs auf, beispielsweise über ein Bussystem. Ferner weist das Steuergerät 1 die Nutzrecheneinheit 3 zur Durchführung bzw. Bereitstellung der Nutzfunktionen auf.
-
In der geschützten Ausführungsumgebung 4 ist die Sicherheitsrecheneinheit 5 zur Bereitstellung der Sicherheitsfunktionen vorgesehen. In einem Speichermittel 6 können, wie beschrieben, die Sicherheitsinformationen abgelegt werden, insbesondere die Produktionssicherheitsinformationen und die Normalsicherheitsinformationen.
-
Zur Bereitstellung der im Verfahren gemäß 1 beschriebenen Funktionalität weist die geschützte Ausführungsumgebung 4 neben der Sicherheitsrecheneinheit 5 und dem Speichermittel 6 noch die Auswertungseinheit 7 und das Schaltmittel 8 auf. Dabei kann die Auswertungseinheit 7 auch wenigstens teilweise als Teil der Sicherheitsrecheneinheit 5 realisiert sein. Bei dem Schaltmittel 8 kann es sich beispielsweise um eine elektronische Sicherung oder eine andere Art von elektronischem Einmalschalter handeln, die bzw. der als Hardwarebauteil irreversibel in die Deaktivierungsstellung verbracht werden kann. Das Steuergerät 1 ist also zur Durchführung des zu 1 beschriebenen Verfahrens eingerichtet.
-
3 zeigt die Prinzipskizze eines Kraftfahrzeugs 9, welches mehrere derartige Steuergeräte 1 aufweist, die beispielsweise über ein Bussystem 10 kommunizieren können. Durch Nutzung aufeinander abgestimmter Produktionsbetriebsmodi, mithin aufeinander abgestimmter Produktionssicherheitsinformationsdatensätze, können auch Nutzfunktionen mehrerer Steuergeräte 1 betreffende Aktionen zu unterschiedlichsten Zeitpunkten im Produktionsvorgang durchgeführt werden, wo dies opportun ist.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102016224580 B3 [0005]
- DE 102005026849 A1 [0006]
- DE 102008061957 A1 [0007]