DE4411450C1 - Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung - Google Patents

Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung

Info

Publication number
DE4411450C1
DE4411450C1 DE4411450A DE4411450A DE4411450C1 DE 4411450 C1 DE4411450 C1 DE 4411450C1 DE 4411450 A DE4411450 A DE 4411450A DE 4411450 A DE4411450 A DE 4411450A DE 4411450 C1 DE4411450 C1 DE 4411450C1
Authority
DE
Germany
Prior art keywords
information
vehicle
key
value
original image
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE4411450A
Other languages
English (en)
Inventor
Horst Dr Ing Brinkmeyer
Michael Daiss
Guenter Schwegler
Bertolt Krueger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BRINKMEYER, HORST, DR., 71336 WAIBLINGEN, DE
DAISS, MICHAEL, DIPL.-ING., 70794 FILDERSTADT, DE
KROEGER, BERTOLT, DR., 53113 BONN, DE
SCHWEGLER, GUENTER, 71384 WEINSTADT, DE
Original Assignee
Daimler Benz AG
Mercedes Benz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Daimler Benz AG, Mercedes Benz AG filed Critical Daimler Benz AG
Priority to DE4411450A priority Critical patent/DE4411450C1/de
Priority to GB9506278A priority patent/GB2288049B/en
Priority to IT95RM000198A priority patent/IT1278477B1/it
Application granted granted Critical
Priority to FR9503766A priority patent/FR2718091B1/fr
Publication of DE4411450C1 publication Critical patent/DE4411450C1/de
Priority to JP10988595A priority patent/JP2673941B2/ja
Priority to US08/415,377 priority patent/US5708712A/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/01Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
    • B60R25/04Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00388Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method
    • G07C2009/00396Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method starting with prompting the keyless data carrier
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/0042Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal containing a code which is changed
    • G07C2009/00476Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal containing a code which is changed dynamically
    • G07C2009/005Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal containing a code which is changed dynamically whereby the code is a random code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • G07C2009/00769Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
    • G07C2009/00785Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means by light
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Description

Die Erfindung bezieht sich auf eine Fahrzeugsicherungseinrich­ tung mit elektronischer Nutzungsberechtigungscodierung nach dem Oberbegriff des Patentanspruchs 1. Bei derartigen Einrichtungen erfolgt ein bidirektionaler Datenaustausch zwischen Schlüssel- und Fahrzeugseite während Nutzungsberechtigungsprüfungen.
Fahrzeugsicherungseinrichtungen mit unidirektionaler Datenüber­ tragung zur Nutzungsberechtigungsprüfung nur von der Schlüssel- zur Fahrzeugseite sind z. B. als nach einem sogenannten Wechsel­ codeverfahren arbeitende elektronische Wegfahrsperren zum Schutz vor einer unberechtigten Fremdnutzung des Fahrzeugs be­ kannt, siehe z. B. den Firmenprospekt "Diebstahlschutz für das Auto" der Firma TEMIC TELEFUNKEN microelektronik GmbH vom August 1993. Gegenüber früher gebräuchlichen Festcodeverfahren, wie es beispielsweise in der Offenlegungsschrift DE 29 11 828 A1 beschrieben ist, ist bei derartigen Wechselcodeverfahren die Sicherheit gegenüber einer unberechtigten Fahrzeugbenutzung nach Abhören eines oder mehrerer Codesendeprotokolle dadurch erhöht, daß die Codeinformation bei jedem sogenannten Authen­ tikationsvorgang, d. h. bei jedem Prüfvorgang der Nutzungsbe­ rechtigung, wechselt. Dieser Codewechsel läßt sich unter Bei­ behaltung der vom Festcodeverfahren her bekannten unidirektio­ nalen Codeinformationsübertragung nur von der Schlüssel- zur Fahrzeugseite dadurch realisieren, daß sowohl auf der Schlüs­ sel- wie auch auf der Fahrzeugseite eine geheime Basiszahlin­ formation und ein Algorithmus abgelegt werden, nach welchem die aufeinanderfolgenden Codeinformationen aus der Basiszahl ab­ leitbar sind, so daß fahrzeugseitig durch jeweiligen Vergleich der fahrzeugseitig erzeugten Codeinformation mit der schlüs­ selseitig gesendeten Codeinformation die Benutzerberechtigung geprüft werden kann. Alternativ ist es bekannt, in die Schlüs­ sel- und die Fahrzeugseite nach jeder erfolgreichen Authen­ tikation durch eine Zwangssynchronisation jeweils eine neue, zufällig ausgewählte oder deterministisch festgelegte berech­ tigende Codeinformation für die nächste Authentikation einzu­ bringen, siehe z. B. die Offenlegungsschrift DE 32 34 539 A1 und die Patentschrift DE 33 13 098 C1.
Sicherungssysteme mit nur unidirektionaler Datenübertragung besitzen wie auch manche bidirektional arbeitenden Systeme folgenden Schwachpunkt. Übergibt ein autorisierter Benutzer seine Schlüsseleinheit zeitweise an eine andere Person, z. B. bei einem Hotelaufenthalt zwecks Einparken, so kann sich diese Person unter Auslesen der schlüsselseitig abgegebenen Infor­ mationen und Abspeichern derselben auf einfache Weise einen Nachschlüssel anfertigen, wonach er dem autorisierten Benutzer die Schlüsseleinheit zurückgibt. Bevor nun der autorisierte Benutzer das Fahrzeug selbst zum nächsten Mal benutzt, kann sich ein anderer unbefugterweise unter Verwendung des Nach­ schlüssels gegenüber dem Fahrzeug authentifizieren und es damit anschließend unberechtigerweise benutzen. Diese Vorgehensweise, sich unberechtigt in Fahrzeugbesitz zu bringen, läßt sich zudem eventuell schwerer nachweisen als ein direkter Schlüsseldieb­ stahl. Einem derartigen Fahrzeugdiebstahlversuch kann im Rahmen eines Codesicherungssystems dadurch begegnet werden, daß für die Authentikation ein bidirektionaler Datenaustausch statt­ findet, bei dem eine für einen Außenstehenden unvorhersehbare Information von der Fahrzeug- zur Schlüsselseite übertragen wird, welche in die von der Schlüsseleinheit zurückgesendete Authentikationsinformation eingeht.
Es sind bereits Fahrzeugsicherungssysteme der eingangs ge­ nannten Art in Form sogenannter symmetrischer Verschlüsse­ lungsverfahren bekannt, bei denen die Authentikation über bidirektionalen Datenaustausch erfolgt, wobei einerseits auf der Schlüsselseite und andererseits auf der Fahrzeugseite jeweils ein gleichartiger, geheimer Codieralgorithmus abgelegt ist. Dieser Algorithmus erzeugt auf eine beiden Seiten zuge­ führte Eingangsinformation, z. B. einer Zufallszahlinformation, hin eine jeweilige Codeinformation, wobei anschließend die schlüsselseitige Codeinformation zur Fahrzeugseite gesendet und dort mit der fahrzeugseitig erzeugten Codeinformation auf Übereinstimmung geprüft wird. Ein Verfahren dieser Art ist in der Offenlegungsschrift DE 32 25 754 A1 beschrieben.
Sämtliche der obigen bekannten Verfahren erfordern mithin die Speicherung einer geheimen Information auf der Fahrzeugseite in allen an der Authentikation beteiligten Geräteeinheiten. Dies bedingt entsprechenden sicherheitslogistischen Aufwand zum Einbringen derartiger geheimer Daten in Formationen beim Fahrzeughersteller, beim Komponentenhersteller und/oder in Werkstätten, in welchen diese geheime fahrzeugspezifische Information in Austauschgeräteeinheiten einzubringen ist.
Der Erfindung liegt als technisches Problem die Bereitstellung einer Fahrzeugsicherungseinrichtung der eingangs genannten Art zugrunde, die bei verhältnismäßig geringem Aufwand und einem möglichst geringen Maß an fahrzeugseitig abgelegter geheimer Information sowie komfortabler Bedienung einen relativ hohen Schutz vor unberechtigter Fremdnutzung des Fahrzeugs bietet, wobei es einem Unberechtigten insbesondere nicht möglich ist, einfach durch Abhören und Speichern von während Authentika­ tionsversuchen übertragener Information das Fahrzeug anschließend in einfacher Weise durch erfolgreiche Authentikation unter Benutzung der abgehörten Informationen unberechtigt zu nutzen.
Dieses Problem wird durch eine Fahrzeugsicherungseinrichtung mit den Merkmalen des Patentanspruchs 1 gelöst. Die Fahrzeug­ sicherungseinrichtung bietet bei vergleichsweise geringem Auf­ wand einen verhältnismäßig hohen Schutz gegen unberechtigte Fremdnutzung des Fahrzeugs, wobei höchstens in einer einzigen fahrzeugseitigen Geräteeinheit eine geheime Information ge­ speichert zu sein braucht, was den sicherheitslogistischen Aufwand beim Fahrzeughersteller und in den Werkstätten und damit verbundene Sicherheitsrisiken sehr gering hält. Das System bietet insbesondere die Sicherheit, daß sich durch Abhören von bei Authentikationsversuchen gesendeten Authenti­ kationsinformationen keine Nachschlüssel herstellen lassen, mit denen eine anschließende erfolgreiche Authentikation möglich ist, da die schlüsselseitig gesendete Benutzercodeinformation bei jedem Authentikationsversuch von einer zuvor fahrzeugseitig gesendeten Zufallsinformation abhängt. Die sicherheitslogisti­ schen Maßnahmen erhöhen sich nicht wesentlich, wenn zur Authen­ tikation fahrzeugseitig eine Vielzahl von Geräteeinheiten beteiligt ist, um eine Umgehung der Wegfahrsperre durch ein­ fachen Austausch einer oder einiger weniger authentikations­ beteiligter Geräteeinheiten unökonomisch zu machen. Die Code­ sicherheit der Authentikation beruht auf der definitionsgemäßen Eigenschaft einer mathematischen Einwegfunktion, daß nämlich der Algorithmus zur Berechnung eines Einwegfunktionswertes zu einem Urbildwert vergleichsweise einfach ist, hingegen die Ge­ winnung eines zu einem gegebenen Einwegfunktionswert gehörigen Urbildwertes nicht mit praktisch realisierbarem Rechenaufwand innerhalb einer zur Verfügung stehenden Zeitspanne möglich ist. Die Eigenschaft einer Funktion, eine Einwegfunktion zu sein, hängt daher auch von der vorhandenen Rechnerkapazität ab. Beim derzeitigen Stand der Rechnertechnologie sind derartige Einweg­ funktionen z. B. in Form sogenannter Hashfunktionen bekannt, die vor allem zur Nachrichtensicherung in der Kryptographie Ver­ wendung finden, wobei als Obergrenze für den praktisch be­ herrschbaren Rechenaufwand heutzutage eine Anzahl von ca. 2⁵⁰ Berechnungs- und Speichervorgängen von Hashwerten angenommen werden kann. Aufgrund der praktischen Nichtumkehrbarkeit der Einwegfunktion brauchen die Einwegfunktionswerte fahrzeugseitig nicht geheim behandelt zu werden, denn selbst ein unberechtig­ tes Auslesen derselben aus dem Fahrzeug würde einen Unberech­ tigten nicht in die Lage versetzen, die zugehörigen Urbildwerte aufzufinden und damit einen elektronischen Nachschlüssel anzu­ fertigen. Die Sicherheit des Systems ist weiter dadurch gege­ ben, daß für jeden Authentikationsversuch eine neue Urbild­ wert-Codeinformation gesendet wird. Abhängig vom Ergebnis des Vergleiches von Ist- und Soll-Berechtigungsinformation gibt die fahrzeugseitige Authentikationseinheit eine Nutzungsfreigabe­ information ab, die bei positivem Authentikationsversuch zur Entschärfung einer zugehörigen elektronischen Wegfahrsperre und bei negativem Authentikationsversuch zu deren bleibender Schär­ fung führt, wobei die elektronische Wegfahrsperre beinhaltet, daß nach Abziehen des Zündschlüssels wenigstens eine fahrzeug­ seitige, für den Zugang zum Fahrzeug oder für den Betrieb des Fahrzeugs relevante Geräteeinheit, z. B. eine Schließsteuerung, ein Motorsteuergerät etc., in einer Blockierstellung gehalten wird.
Eine Ausgestaltung der Erfindung nach Anspruch 2 realisiert in vorteilhafter, einfacher Weise die Bereitstellung der schlüs­ selseitig abgelegten Urbildwerte, indem diese Wertefolge durch Hintereinanderausführung der Einwegfunktion gebildet wird, wo­ nach sie im laufenden Schlüsselbetrieb rückwärts, d. h. vom zuletzt bestimmten bis zum anfänglichen Urbildwert ausgelesen wird. Fahrzeugseitig bringt dies den speichertechnischen Vor­ teil, daß nicht sämtliche zu den Urbildwerten gehörige Einweg­ funktionswerte abgespeichert zu werden brauchen. Vielmehr ge­ nügt zur Bereitstellung der Soll-Berechtigungsinformation die anfängliche Abspeicherung des zu dem ersten gesendeten Urbild­ wert gehörigen Einwegfunktionswertes, wonach diese Speicher­ information jeweils bei einer erfolgreichen Authentikation mit derselben Schlüsseleinheit mit der für diese Authentikation ge­ sendeten Urbildwertinformation überschrieben wird, da ein zuvor gesendeter Urbildwert stets gerade der Einwegfunktionswert des nachfolgend gesendeten Urbildwertes ist.
Mit einer Ausgestaltung der Erfindung nach Anspruch 3 läßt sich auf der Schlüsselseite Speicherplatz einsparen, indem nicht sämtliche über die Lebensdauer der Schlüsseleinheit benötigte Urbildwerte, sondern lediglich Stützstellen in ausgewählten Ab­ ständen der gesamten Urbildwertfolge sowie ein jeweils aktuel­ ler Wertebereich zwischen zwei Stützstellen abgespeichert ge­ halten sind. Mit Hilfe des auch auf der Schlüsselseite abgeleg­ ten Einwegfunktionsalgorithmus läßt sich immer dann, wenn ein aktueller Bereich bis auf einen vorgebbaren Rest verbraucht ist, von der nächsten Stützstelle aus ein neuer aktueller Be­ reich durch rekursive Anwendung der Einwegfunktion generieren und abspeichern.
Durch eine Ausgestaltung der Erfindung nach Anspruch 4 ist fahrzeugseitig ein sogenannter Fangbereich gebildet, der es in einem vorgebbaren Umfang ermöglicht, die Fahrzeugseite wieder mit der Schlüsselseite zu synchronisieren, wenn die Synchroni­ sation aufgrund einer oder mehrerer Sendeaktivitäten auf der Schlüsselseite, denen keine fahrzeugseitige Empfangsaktivität gegenüberstand, verlorengegangen ist. Entspricht der Einweg­ funktionswert eines empfangenen Urbildwertes als Ist-Berechti­ gungsinformation nicht der momentanen fahrzeugseitigen Soll- Berechtigungsinformation, so wird durch den Fangbereich für eine vorgegebene maximale Anzahl von Wiederholungen das Durch­ laufen einer rekursiven Einwegfunktionsbildung zugelassen, wo­ bei der jeweils aus der bisherigen Ist-Berechtigungsinformation erzeugte Einwegfunktionswert als neue Ist-Berechtigungsinforma­ tion dient. Wenn mit einer derart neu bestimmten Ist-Berechti­ gungsinformation innerhalb des Fangbereichs Übereinstimmung mit der fahrzeugseitig gespeicherten Soll-Berechtigungsinformation erkannt wird, wird dies als positiver Authentikationsversuch gewertet, und demgemäß wird dann die Wegfahrsperre aufgehoben sowie die gesendete Urbildwertinformation als neue Soll-Berech­ tigungsinformation für den nächsten Authentikationsversuch mit diesem Schlüssel abgespeichert. Wird der Fangbereich so groß gewählt wie die Mächtigkeit einer insgesamt möglichen Urbild­ wertsequenz in der Schlüsseleinheit, so ermöglicht dies zudem ein vorteilhaft einfaches Einbinden eines berechtigenden Er­ satzschlüssels bei gleichzeitigem automatischem Ungültigwerden des ersetzten Schlüssels. Dazu kann der Ersatzschlüssel bevor­ zugt durch eine Weiterbildung nach Anspruch 5 initialisiert werden, wofür lediglich die Abspeicherung eines einzigen gehei­ men Startwertes zur Einwegfunktionswertbildung für die Initia­ lisierung des ersten und aller weiteren, den vorigen bei Bedarf sukzessive ersetzenden Schlüssel in einer Schlüsselzentrale nötig ist.
Als Einwegfunktion ist gemäß Anspruch 6 eine der aus der Kryptographie bekannten Hash-Funktionen, speziell der RIPEMD- Algorithmus, verwendbar, wofür nach dem heutigen Stand der kryptographischen Wissenschaft die geforderte Einwegfunktions­ eigenschaft angenommen werden kann.
In Ausgestaltung der Erfindung nach Anspruch 7 sind mehrere fahrzeugseitige Geräteeinheiten parallel in die Authentikation einbezogen, wofür sie günstigerweise über einen gemeinsamen Datenbus verbunden sein können. Diese dezentrale Verteilung der Authentikation, die sich über alle fahrzeugrelevanten Geräte­ einheiten erstrecken kann, erschwert wesentlich eine Umgehung der Wegfahrsperre durch mechanische Manipulationen in Form eines Geräteaustauschs, da dann alle diese von der Authentika­ tion und der Wegfahrsperre betroffenen Geräteeinheiten ausge­ tauscht werden müßten, um das Fahrzeug für einen Unberechtigten nutzbar zu machen, der nicht über die Möglichkeit einer erfolg­ reichen Authentikation verfügt. Die einbezogenen Geräteeinhei­ ten, insbesondere Steuergeräte der Fahrzeugelektronik, können dabei so ausgewählt sein, daß deren Austausch einen im Verhält­ nis zum gewonnenen Nutzen unverhältnismäßig hohen Aufwand be­ deutet und daher uninteressant wird.
Bei einer Ausgestaltung der Erfindung nach Anspruch 8 ist jedenfalls die Schließsteuerung des Fahrzeugs in die Authenti­ kation einbezogen, so daß sich das Fahrzeug ohne berechtigte Authentikation nicht nur nicht starten, sondern auch nicht ohne gewaltsame Manipulation öffnen läßt. Sind weitere Geräteein­ heiten beteiligt, können diese beispielsweise durch einen Datenbus untereinander und mit der Schließsteuerung verbunden sein, wobei dann ein einziger fahrzeugseitiger Empfänger für die schlüsselseitig gesendeten Daten ausreicht, der beispiels­ weise der Schließsteuerung zugeordnet sein kann.
Eine Ausgestaltung der Erfindung nach Anspruch 9 hat den Vor­ teil, daß durch die anfängliche Identifizierungsprüfung bezüg­ lich des Fahrzeugs und des Schlüssels erst einmal festgestellt wird, ob legitimierte Hardware-Einheiten miteinander in Verbin­ dung stehen, bevor der eigentliche Authentikationsvorgang durchgeführt wird. So läßt sich die unnötige Aktivierung von Authentikationsoperationen, die wegen unrichtiger Schlüssel- Fahrzeug-Kombination nicht zum Erfolg führen können, vermeiden.
Eine Ausgestaltung der Erfindung nach Anspruch 10 erlaubt die Verwendung eines Schlüsselsatzes mit mehreren Schlüsseln für das Fahrzeug in schaltungstechnisch vorteilhafter Weise und unter Beibehaltung des Einwegfunktions-Codieralgorithmus.
Eine Ausgestaltung der Erfindung nach Anspruch 11 hat den Vor­ teil, daß die Funktionen, die nicht direkt mit dem eigentlichen Authentikationsvorgang zu tun haben, fahrzeugseitig zentral nur in einer Geräteeinheit, z. B. einem Schließsteuergerät, vorge­ sehen werden, während die authentisierenden Funktionen zwecks hohem Wegfahrsperrschutz in jedem Steuergerät angeordnet sind.
Mit den Merkmalen des Anspruchs 12 wird eine besonders vorteil­ hafte Ausgestaltung der Codeverknüpfung von Urbildwert-Infor­ mation und Zufallsinformation realisiert, die bei verhältnis­ mäßig geringem Codieraufwand einen hohen Mißbrauchsschutz bietet. Die Verwendung der Zufallsinformation stellt sicher, daß eine alte, eventuell abgehörte Benutzercodeinformation nicht mehr zu einer erneuten erfolgreichen Authentikation führen kann. Durch die Verwendung des laufenden Zählerwertes wird sichergestellt, daß sich der Hashfunktionswert, mit dem der jeweilige Urbildwert XOR-verknüpft wird, sich auch dann nicht wiederholt, wenn die Zufallsinformation von einem Un­ berechtigten wiederholt würde. Die Verwendung einer einzigen, in nur einer fahrzeugseitigen Geräteeinheit abgelegten geheimen Information erscheint vom Gesichtspunkt der Sicherheitslogistik noch akzeptabel und bewirkt, daß ein Außenstehender den mit dem Urbildwert XOR-verknüpften Hashfunktionswert ohne Besitz der Schlüsseleinheit nicht berechnen kann, wobei selbstverständlich das Auslesen der geheimen Information, z. B. aus einem EEPROM der Schlüssel- oder Geräteeinheit, nicht mit vertretbarem Auf­ wand möglich sein darf. Damit stellt dieser Verknüpfungsalgo­ rithmus einen zuverlässigen Codeschutz bei vergleichsweise geringem Rechenaufwand und Speicherplatzbedarf bereit.
Der in Ausgestaltung der Erfindung nach Anspruch 13 gewählte Algorithmus zur Zufallszahlerzeugung gewährleistet die Unvor­ hersagbarkeit der jeweils nächsten Zufallszahl für einen Außen­ stehenden, da sich die Eingabewerte für die Hashfunktion bei der Zufallszahlerzeugung nicht vorhersagbar wiederholen. Ins­ gesamt ergibt sich bei einer Realisierung der Fahrzeugsiche­ rungseinrichtung, insbesondere bei Ausgestaltung nach Anspruch 13, daß eine unbefugte Authentikation durch Manipulationen auf der Übertragungsstrecke zwischen Schlüssel- und Fahrzeugseite weder durch Fälschen von gesendeten Authentikationsinformatio­ nen noch durch Einspielen früherer, abgehörter Authentikations­ informationen mit einer signifikanten Wahrscheinlichkeit zum Erfolg führen kann.
Eine bevorzugte Ausführungsform der Erfindung ist in der Zeich­ nung dargestellt und wird nachfolgend beschrieben.
Die einzige Figur zeigt ein Blockdiagramm einer Fahr­ zeugsicherungseinrichtung mit elektronischer Nutzungs­ berechtigungsprüfung mittels bidirektionalem Codeaus­ tausch.
Die Fahrzeugsicherungseinrichtung beinhaltet benutzerseitig mehrere, z. B. acht, elektronische Schlüssel (1), von denen stellvertretend einer gezeigt ist, sowie fahrzeugseitig eine Mehrzahl von in die Nutzungssicherung einbezogenen Geräteein­ heiten (2), von denen eine eine Schließsteuerung ist, deren Aufbau stellvertretend für die übrigen Geräteeinheiten in der Figur dargestellt ist, während die übrigen Geräteeinheiten die sonstigen Steuergeräte der fahrzeugelektrischen Anlage sind. Dabei ist der in der Figur auf der Fahrzeugseite links von der rechten punktierten Trennlinie dargestellte Schaltungsteil (2′) nur in der Schließsteuerung vorhanden, während der rechts von dieser Trennlinie befindliche Schaltungsteil (2") für alle ein­ bezogenen Geräteeinheiten in identischer Form vorhanden ist. Sämtliche in die Sicherung einbezogenen Geräteeinheiten (2) kommunizieren in nicht gezeigter Weise über einen CAN-Bus, alternativ über eine andere Datenaustauschverbindung im Fahr­ zeug, untereinander sowie mit dem nur in der Schließsteuerung vorhandenen empfangsseitigen Schaltungsteil (2′). Schlüssel- und Geräteeinheiten (1, 2) sind dabei jeweils mit einem Pro­ zessorchip bestückt, in denen die in der Figur jeweils in Blockform illustrierten und nachfolgend beschriebenen Funk­ tionseinheiten weitgehend softwaremäßig implementiert sind.
Die Schlüsseleinheiten (1) besitzen jeweils einen Sender (5), mit dem schlüsselseitige Daten codiert über eine Infrarot­ strecke (9) zur Fahrzeugseite gesendet werden können, wo sie von einem Empfänger (10) im Eingangsschaltungsteil (2′) der Schließsteuerung (2) empfangen und anschließend decodiert werden können, sowie einen Empfänger (26) zum Empfangen einer Zufallsinformation (RND), die von einem Sender (25) in der Schließsteuerung abgegeben werden kann. Jede Schlüsseleinheit (1) besitzt des weiteren eine Einheit (7) zur rekursiven Erzeu­ gung von Einwegfunktionswerten einer z. B. in der Kryptographie verwendeten Hashfunktion (H), wobei hier speziell als Hash- Einwegfunktion die aus "Ripe Integrity Primitives, Final report of RACE Integrity Primitives Evaluation (R1040) (June 1992), Part 111 Recommended Integrity Primitives, Chapter 3 RIPEMD, S. 67-109" bekannte RIPEMD-Funktion verwendet ist. Eine Einweg­ funktion ist hierbei als eine mathematische Funktion definiert, für die der Funktionswert eines gegebenen Urbildes aus ihrem Definitionsbereich eindeutig und vergleichsweise einfach be­ stimmbar ist, während es selbst mit in der Praxis maximal zur Verfügung stehendem Rechenaufwand nicht möglich ist, zu einem gegebenen Einwegfunktionswert einen Urbildwert zu finden. Die Bitlänge eines RIPEMD-Funktionswertes beträgt 16 Byte, wobei es für den vorliegenden Zweck der Fahrzeugsicherung ausreicht, den 16-Byte-Wert durch einen geeigneten Algorithmus in einen ver­ kürzten 8-Byte-Wert zu transformieren, um Speicherplatz ein­ zusparen. Mit dieser Hashfunktionswert-Erzeugungseinheit (7) werden durch wiederholtes Anwenden der Hashfunktion beginnend mit einem Startwert (m₀) eine Anzahl n von Werten erzeugt und als Urbildwerte in einem Urbildwertspeicher (3) abgelegt, der über einen Zeigerzähler (21) rückwärts, d. h. beginnend mit dem letzten Wert (mn-1) der Urbildwertsequenz (m₀, . . . , mn-1) sukzessive in eine Codierstufe (4) auslesbar ist. Die Anzahl n bestimmt die Anzahl der durch die Schlüsseleinheit (1) während ihrer Lebensdauer maximal auslösbaren Authentikationsversuche und ist entsprechend zu wählen, z. B. n=100 000 für ca. 20 Schlüsselbetätigungen täglich bei ca. 10 Jahren Schlüssel­ lebensdauer. Der Codierstufe (4) ist außerdem eine in einem Speicher (27) abgelegte geheime Information (g) sowie die empfangene Zufallsinformation (RND) und ein laufender Zählwert (i′) des Zählers (21) zuführbar. Sie verknüpft diese Eingangs­ informationen mittels XOR-Verknüpfungen und einer Hash-Funk­ tionswertbildung gemäß der Beziehung
m = mi XOR H(RND XOR g XOR i′)
zu einer codierten Urbildwertinformation (m).
Zur Abspeicherung von Hardware-Identifikationsdaten, die eine fahrzeugspezifische sowie eine schlüsselspezifische Information umfassen, weist jede Schlüsseleinheit (1) einen Identifika­ tionsdatenspeicher (8) auf, dessen Daten die Schlüsseleinheit (1) mit der jeweils aus der Codierstufe (4) kommenden codierten Urbildwertinformation (m) zu der als Nachricht zu sendenden Be­ nutzercodeinformation (M) verknüpft. Zur Einleitung einer Authentikation ist eine Benutzertaste (6) vorgesehen, deren Startsignal (SST) zur fahrzeugseitigen Schließsteuerung (2) gesendet werden kann.
Fahrzeugseitig beinhaltet der informationseingangsseitige Schaltungsteil (2′) der Schließsteuerung (2) einen Identifi­ kationsdatenspeicher (11), einen Identifikationsdatenverglei­ cher (12) sowie eine Gatterfunktion (13). Der Komparator (12) vergleicht die in diesem Schließsteuergerät-Schaltungsteil (2′) aus der empfangenen Benutzercodeinformation (M) extrahierte Identifikationsdateninformation (IDS) mit der in dem fahrzeug­ seitigen Identifikationsdatenspeicher (11) abgelegten Iden­ tifikationsdateninformation (IDK) und beaufschlagt mit seinem Ausgangssignal einen Steuereingang des Gatters (13), dessen anderer Eingang vom Benutzercodeinformationssignal (M) beauf­ schlagt wird. Wahlweise kann an die Schließsteuerung (2) eine Diagnoseschnittstelle (19) angeschlossen werden, wie in der Figur punktiert angedeutet ist.
Weiter beinhaltet dieser Schließsteuerungs-Schaltungsteil (2′) einen Speicher (23), in dem die geheime Information (g) fahr­ zeugseitig abgelegt ist, eine Decodierstufe (22), eine Zufalls­ informationserzeugungsstufe (24), einen Zufallsinformations­ speicher (28) und eine Gatterstufe (29) zum Durchlassen des Startsignals (SST) an die zufallsinformationserzeugende Einheit (24). Die Decodierung erfolgt dabei passend zur Codierung in der Schlüsseleinheit (1) gemäß der Beziehung
m′′ = m XOR H(RND XOR g XOR i′),
und die zufallsinformationserzeugende Einheit (24) erzeugt aus einer bisherigen Zufallsinformation (RNDa), der geheimen Infor­ mation (g) und einem bei einer vorangegangenen Authentikation gesendeten Urbildwert (mi+1) durch XOR-Verknüpfungen und Hash-Funktionswertbildung eine neue Zufallsinformation (RNDn) gemäß der Beziehung
RNDn = H(RNDa XOR g XOR mi+1).
Der rechts von der rechten punktierten Trennlinie in der Figur gezeigte Schließsteuerungs-Schaltungsteil (2′′) , der auch in allen anderen, in das Fahrzeugsicherungssystem einbezogenen Geräteeinheiten (2) in identischer Form vorhanden ist, beinhal­ tet, wiederum softwarerealisiert, eine Einheit (14) zur Hash- Funktionswertberechnung sowie eine Gatterfunktion (15), denen beiden die jeweils in der Benutzercodeinformation (M) enthal­ tene Urbildwertinformation (mi) zuführbar ist. Der Ausgang die­ ses Gatters (15) ist mit einem Soll-Berechtigungsinformations­ speicher (16) mit einer der Anzahl von Schlüsseleinheiten (1) entsprechenden Speicherstellenanzahl verbunden, wobei die ein­ zelnen Speicherstellen abhängig von der erkannten Schlüssel­ identität (IDj), d. h. der Schlüsselnummer, ansprechbar sind. Der Ausgang dieses Speichers (16) wiederum ist mit einem Ein­ gang eines Komparatorblocks (17) verbunden, dem über einen wei­ teren Eingang das Ausgangssignal (m′) der Hash-Funktionswerter­ zeugungseinheit (14) zuführbar ist. Dieses Ausgangssignal (m′) ist außerdem einem weiteren Gatterblock (18) zugeführt, dessen Steuereingang von einem Nichtübereinstimmungssignal (NU) des Komparators (17) beaufschlagt wird. Bei erkannter Übereinstim­ mung erzeugt hingegen der Komparator (17) ein Nutzungsfreigabe­ signal (SF) zum Aufheben eines die Software-Betriebsbereit­ schaft der betreffenden Geräteeinheit (2) blockierenden Zustan­ des, der Teil einer alle diese Geräteeinheiten blockiert hal­ tenden elektronischen Wegfahrsperre ist. Das Nutzungsfreigabe­ signal (SF), das eine erfolgreiche Authentikation, d. h. Nut­ zungsberechtigungsprüfung, repräsentiert, verläßt dabei nicht die zugehörige Geräteeinheit und vorzugsweise nicht einmal den Chipbereich, was eine hohe Sicherheit gegen unbefugte Fremdein­ speisung der Nutzungsfreigabeinformation bietet, und ist außer­ dem als Steuersignal dem mit der gesendeten Urbildwertinforma­ tion (mi) beaufschlagten Gatterblock (15) zugeführt, um ein Ab­ speichern dieser Information als neue Soll-Berechtigungsinfor­ mation zu ermöglichen. Zur Durchführung von Sonderfunktionen über die ggf. an die Schließsteuerung angeschlossene Diagnose­ schnittstelle (19) oder eine Schlüsseleinheit (1) ist bei Be­ darf ein zusätzlicher Sonderfunktions-Sollberechtigungsinfor­ mationsspeicher (20) parallel zu dem normalen Soll-Berechti­ gungsinformationsspeicher (16) vorgesehen, wie in der Figur gestrichelt angedeutet.
Wie oben erwähnt, sind alle in den Authentikationsvorgang ein­ bezogenen Geräteeinheiten (2) gleichzeitig auch in eine elek­ tronische Wegfahrsperre einbezogen, die durch Abstellen der Zündung jeweils geschärft wird und durch einen nachfolgenden erfolgreichen Authentikationsvorgang wieder entschärfbar ist. Da in allen diesen Geräteeinheiten (2) dieselben Authentika­ tionsoperationen durchgeführt werden, werden alle diese Ein­ heiten (2) bei einer berechtigten Nutzungsanforderung gleich­ zeitig wieder betriebsbereit, während bei einer unberechtigten Nutzungsanforderung wenigstens eine gesperrt bleibt. Die Ver­ teilung des Authentikationsvorgangs auf alle diese Fahrzeug­ geräteeinheiten und die korrespondierende Sperrung derselben hat den Vorteil, daß sich das Fahrzeug nicht durch einfachen Austausch einer oder einiger weniger Geräteeinheiten unter Umgehung der Authentikationsnotwendigkeit weiterbenutzen läßt. Vielmehr müßten alle diese Geräteeinheiten ausgetauscht werden, was mit so hohem Kostenaufwand verbunden ist, daß ein derarti­ ger Versuch einer unberechtigten Fremdnutzung uninteressant ist.
Nachfolgend wird im Detail auf die Funktionsweise der wie oben beschrieben aufgebauten Fahrzeugsicherungseinrichtung einge­ gangen.
Der Gesamtablauf beginnt zunächst vor der Fahrzeuginbetrieb­ nahme mit den nötigen Initialisierungsvorgängen beim Schlüssel­ hersteller bzw. einer für diesen Zweck eingerichteten Schlüs­ selzentrale (SH). Dort wird zunächst für jeden Schlüssel indi­ viduell ein geheimer Zufallswert (r₀) erzeugt. Aus diesem wird dann durch mehrfaches, z. B. 400 000faches, aufeinanderfolgendes Anwenden der Hashfunktion der geheime Urbildstartwert (m₀) be­ rechnet und in die jeweilige Schlüsseleinheit (1) in den Ur­ bildwertspeicher (3) eingebracht. Die zunächst nicht verwende­ ten Hashfunktionswerte zwischen dem geheimen Anfangszufallswert (r₀) und dem Urbildstartwert (m₀) können als Hilfsmittel für einen weiter unten beschriebenen Schlüsselersatz dienen, wozu der zugehörige Anfangszufallswert (r₀) in einem geschützten Speicher der Schlüsselzentrale (SH) aufbewahrt wird. Neben dem Urbildstartwert (m₀) werden bei der Produktion der Schlüssel­ einheit (1) auch die Identifikationsdaten (IDS) in den zuge­ hörigen Speicher (8) eingebracht, wobei diese Daten neben fahr­ zeugspezifischen Daten auch eine Schlüsselnummer enthalten, welche die für ein Fahrzeug gleichzeitig gültigen Schlüsselein­ heiten voneinander unterscheidet. Bis auf die Schlüsselnummer sind die Identifikationsdaten der für ein Fahrzeug gleichzeitig gültigen Schlüsseleinheiten (1) gleich und bilden folglich eine Art Schlüsselsatznummer. Parallel werden die identischen Iden­ tifikationsdaten von der Schlüsselzentrale (SH) zum Einspei­ chern in den zugehörigen Speicher (11) der Schließsteuerung zur Verfügung gestellt. Weiter werden in der Schlüsselzentrale (SH) bei der Initialisierung ausgehend von dem Urbildstartwert (m₀) die nächsten n rekursiven Hash-Funktionswerte (HJ(m₀); J=1, . . ., n-1) vorausberechnet und der erhaltene Endwert (mn) als schlüsselspezifischer Soll-Berechtigungsinformationsstartwert zur fahrzeugseitigen Initialisierung der zugehörigen Speicher­ stelle der jeweiligen Soll-Berechtigungsinformationsspeicher (16) zusammen mit den Identifikationsdaten an den Fahrzeugher­ steller übergeben. Außerdem wird bei der Schlüsselproduktion noch die fahrzeugspezifische geheime Information (g) auslese­ sicher eingespeist und selbige auch dem Fahrzeughersteller (FH) zum Eingeben in das Schließsteuergerät (2) zur Verfügung gestellt.
Mit den von der Schlüsselzentrale (SH) erhaltenen Initialisie­ rungsdaten erfolgt die fahrzeugseitige Initialisierung durch den Fahrzeughersteller weiter durch Einbringen eines fahrzeug­ spezifischen Hash-Funktionswertes, der zu einer ebenfalls in der Schlüsselzentrale (SH) erzeugten Hash-Funktionswertfolge gehört, in den Sonder-Hashfunktionswertspeicher (20), und zwar je nach Sicherheitsanforderung zum Abschluß der Produktion beim Fahrzeughersteller oder beim Geräteeinbau am Band bzw. in der Werkstatt. Zur Initialisierung der Soll-Berechtigungsinforma­ tionsspeicher (16) wird im Verlauf der Produktion jede einer bestimmten Schlüsseleinheit (1) zugeordnete Speicherstelle die­ ser Speicher (16) aller beteiligten Geräteeinheiten (2) mit dem von der Schlüsselzentrale (SH) hierfür schlüsselspezifisch zur Verfügung gestellten Startwert (mn) geladen. Hierzu muß sich die Bedienperson über die Diagnoseschnittstelle (19) und den fahrzeugspezifisch im Sonderfunktionsspeicher (20) abgelegten Hash-Funktionswert authorisieren, bevor sie die Anfangsinitia­ lisierung durch Überschreiben des Anfangswertes null mit dem schlüsselspezifischen Soll-Berechtigungsinformationsanfangswert (mn) vornehmen kann, wobei die Speicherstellen der Soll-Berech­ tigungsinformationsspeicher (16) gegen normales Überschreiben geschützt werden, solange sie den Wert null beinhalten. Der Sonderfunktionsspeicher (20) dient dabei als Transportschutz für die Geräteeinheiten, kann jedoch je nach Bedarf die Ausfüh­ rung weiterer Sonderfunktionen ermöglichen. Sichergestellt wer­ den muß bei dieser Geräteinitialisierung, daß die Nullwerte aller Speicherstellen für die verschiedenen Schlüssel eines Satzes überschrieben werden, um eine spätere unberechtigte Fremdinitialisierung zu verhindern. Alternativ ist es möglich, den Soll-Berechtigungsinformationsstartwert (mn) mit einer ersten Schlüsselbetätigung auf die Fahrzeugseite zur Initiali­ sierung zu übergeben. Im Fall eines Reparaturaustauschs einer beteiligten Geräteeinheit (2) kann zudem vorgesehen sein, die neu eingesetzte Einheit über den CAN-Bus mit den Startwerten, die in den anderen Einheiten vorliegen, zu initialisieren, was automatisch das Überschreiben sämtlicher Startwerte null sicherstellt. Zur Unterscheidung, ob die einer Geräteeinheit (2) zugeführte Information (M) eine normale Authentikation oder eine Sonderfunktionsoperation beinhaltet, enthält die zuge­ führte Information (M) neben den Identifikationsdaten, die ca. 8 Byte umfassen, und der auf 8 Byte verkürzten Urbildwertinfor­ mation zusätzlich einen Funktionscode, für den eine Datenlänge von 1 Byte ausreichend ist.
Nach erfolgter Initialisierung generiert jede Schlüsseleinheit (1) mit dem erstmaligen Anschließen an die Energieversorgung über ihre Hashfunktionswert-Erzeugungseinheit (7) aus dem ab­ gelegten Startwert (m₀) die übrigen n-1 Werte durch (n-1)malige, wiederholte Anwendung der Hashfunktion auf den jeweils zuvor erhaltenen Funktionswert und speichert die erhaltene Wertefolge als Urbildwertefolge im entsprechenden Speicher (3) zum sukzessiven Rückwärtsauslesen ab, wobei der zugehörige Zähler (21) anfangs auf den Wert n-1 gesetzt ist und sich bei jeder Betätigung der Aktivierungstaste (6) um eins verringert. Da die Speicherung dieser beispielsweise 100 000 16-Byte-Werte entsprechenden Speicherbedarf erfordert, ist folgendes, spei­ cherplatzsparendes Alternativvorgehen möglich. Es werden aus­ gewählte Werte der erzeugten Hash-Funktionswertfolge (m₀ bis mm-1), z. B. nur jeder hundertste Wert, im Speicher (3) als Stützstellen fest abgespeichert. Zusätzlich wird jeweils ein aktuell anstehender Abschnitt der Wertesequenz (m₀ bis mn-1) zwischen zwei Stützstellen, der z. B. aus jeweils 100 Werten besteht, im Speicher (3) abgelegt, so daß auf diese Weise zu jedem Zeitpunkt nur 1100 8-Byte-Werte im Speicher (3) gehalten werden müssen. Sobald durch laufende Schlüsselbenutzung das Ende eines aktuellen Wertefolgenabschnitts erreicht ist, wird mit der nächsten Stützstelle als Eingangsinformation die Hash- Funktionswertbildung (7) zur Erzeugung des nächstfolgenden Wertefolgenabschnitts zwischen zwei Stützstellen aktiviert, woraufhin der verbrauchte Wertefolgenabschnitt durch den neu berechneten überschrieben wird. Dabei ist vom Gesichtspunkt ge­ ringen Speicherbedarfs eine gleichgroße Speicheraufteilung für die Stützstellen und den Bereich zwischen zwei Stützstellen noch besser, wobei dann jeder Speicherteil eine ca. der Wurzel aus der Mächtigkeit (n) der gesamten Wertefolge (m₀ bis mn-1) entsprechende Speicherstellenanzahl beinhaltet. Für den Fall geringstmöglicher Speicherbeanspruchung ist es als weitere Alternative möglich, nur den Anfangswert (m₀) abgespeichert zu halten und nach jeder Schlüsselaktivierung ausgehend von diesem Startwert (m₀) erneut eine wiederholte Hashfunktionswertbildung durchzuführen und diese Bildung sukzessive jeweils einmal weni­ ger zu wiederholen sowie den jeweiligen Endwert dann direkt in den Zwischenspeicher (4) zu geben. Beliebige andere Aufteilun­ gen sind gleichfalls möglich, z. B. logarithmische Stützstellen­ wahl.
Damit sind die vorbereitenden Operationen für die Aufnahme des normalen Authentikationsbetriebs mit der Fahrzeugsicherungsein­ richtung abgeschlossen. Nachfolgend wird ein derartiger Authen­ tikationsversuch, mit der sich ein Benutzer gegenüber dem Fahr­ zeug als nutzungsberechtigt auszuweisen und dadurch das Öffnen des Fahrzeugs sowie das Aufheben der beim Abstellen des Fahr­ zeugs geschärften Wegfahrsperre zu erreichen versucht, erläu­ tert. Ein solcher Authentikationsvorgang wird durch Betätigen der Starttaste (6) einer Schlüsseleinheit (1) eingeleitet, wobei das damit erzeugte Startsignal (SST) zusammen mit den Identifikationsdaten (IDS) und dem Funktionscode für normale Authentikation über den Sender (5) und die Übertragungsstrecke (9) zum Empfänger (10) der Schließsteuerung (2) übertragen wird. Deren empfangsseitiger Teil (2′) erkennt anhand des Funktionscodes einen Authentikationsversuch, prüft mit dem Identifikationsdatenvergleicher (12), ob passende Hardware- Einheiten miteinander in Verbindung stehen und gibt bei positivem Vergleich die Gatterfunktion (29) zum Durchlassen des Startsignals (SST) an die zufallsinformationserzeugende Einheit (24) frei. Mit dem Absenden der Startinformation (SST) wird in der Schlüsseleinheit (1) ein Zeitgeber zum Warten auf Empfang einer Antwort-Zufallsinformation (RND) gesetzt, bei dessen Ab­ lauf der Vorgang abgebrochen und keine Antwortnachricht mehr akzeptiert wird. Die zufallsinformationserzeugende Einheit (24) wird durch das ankommende Startsignal (SST) aktiviert, liest daraufhin aus dem Speicher (23) die geheime Information (g), aus dem Speicher (28) die letzte Zufallsinformation (RNDa) und aus dem Soll-Berechtigungsinformationsspeicher (16) den schlüs­ seleinheitsspezifischen, bei einer letzten erfolgreichen Authentikation gesendeten Urbildwert (mi+1) ein und erzeugt daraus nach der oben angegebenen Beziehung die neue Zufalls­ information (RNDn). Der neue Wert wird anschließend im Zufalls­ informationsspeicher (28) abgelegt und von dort an den fahr­ zeugseitigen Sender (25) übertragen, von wo er über die Infra­ rotübertragungsstrecke (9) zur Schlüsselseite (1) gelangt, wo sie vom Empfänger (26) aufgenommen und der Codiereinheit (4) zugeführt wird. Mit dem Senden der Zufallsinformation (RND) wird wiederum eine Identifikationsdateninformation (IDK) mit­ gesendet und ein Zeitgeber zur Feststellung des Empfangs einer Antwortnachricht gesetzt. Dieser Zeitgeber dient dem Schutz vor einem denkbaren Manipulationsversuch mit abgehörten Daten durch einen manipulierten, verzögerten Startbefehl.
Nach Empfang der Zufallsinformation (RND) werden schlüssel­ seitig der Zeitgeber sowie die empfangenen Identifikationsdaten überprüft, und bei Fehlerfreiheit erzeugt die Codierstufe (4) die codierte Urbildwertinformation (m), wozu ihr zusätzlich der neue Zählerwert (i′) und der nächste Urbildwert (mi) zugeführt werden. Diese codierte Information (m) wird zusammen mit dem auf Fortsetzung der normalen Authentikation gesetzten Funk­ tionscode, den Identifikationsdaten (IDS) und dem nicht codier­ ten Zählerwert (i′) als Benutzercodeinformation (M) über den Sender (5) abgegeben.
Nach Empfang der Benutzercodeinformation (M) durch den Emp­ fänger (10) wird in der Schließsteuerung (2) zunächst die Identifikationsdateninformation (IDS) aus der Benutzercodein­ formation (M) extrahiert und mit den fahrzeugseitigen Identi­ fikationsdaten (IDK) verglichen. Liegt die dadurch geprüfte, geforderte Hardware-Identität eines für das Fahrzeug bestimmten Schlüssels (1) nicht vor, so wird mit einer entsprechenden Steuerinformation an den Gatterfunktionsblock (13) die Weiter­ leitung der Benutzercodeinformation (M) auf den CAN-Bus und von dort an die weiteren Steuergeräteeinheiten verhindert, und der Authentikationsvorgang wird abgebrochen, ohne das Fahrzeug zu entriegeln oder die Wegfahrsperre aufzuheben. Andernfalls wird anschließend die Funktionscodeinformation daraufhin abgefragt, ob die Fortsetzung eines normalen Authentikationsvorgang inner­ halb der gesetzten Zeitspanne vorliegt.
Nur wenn dies der Fall ist, werden der nicht codierte Zähler­ wert (i′) und die codierte Urbildwertinformation (m) aus der Benutzercodeinformation (M) entnommen und der Decodierstufe (22) zugeführt. Diese bestimmt unter zusätzlicher Zuführung der geheimen Information (g) und der aktuellen Zufallsinformation (RND) mit der oben angegebenen Decodierbeziehung die in der empfangenen Benutzercodeinformation (M) enthaltene Urbildwert­ information (m′′) und gibt diese über den CAN-Bus an alle beteiligten Steuergeräte (2) und dort jeweils zur Hash-Funk­ tionswerterzeugungseinheit (14) und zu dem Gatter (15) weiter. Es verseht sich, daß bei korrektem Authentikationsvorgang diese decodierte Urbildwertinformation (m′′) der in die Codierstufe (4) eingespeisten (mi) entspricht. Die Hash-Funktionswerter­ zeugungseinheit (14) berechnet den zum zugeführten Urbildwert (m′′) gehörigen Hash-Funktionswert (m′) und leitet diesen als Ist-Berechtigungsinformation (m′) an den Komparator (17) sowie an das zweite Gatter (18) weiter. Zwischenzeitlich wird anhand der in der Benutzercodeinformation (M) enthaltenen Identifika­ tionsdaten (IDS) die zugehörige Schlüsselnummer (IDj) ermittelt und der in der zugehörigen Speicherstelle des Soll-Berechti­ gungsinformationsspeichers (16) gespeicherte Wert (mi+1) an den anderen Eingang des Komparators (17) ausgelesen, wobei dieser Wert (mi+1) der dem Steuergerät (2) bei der letztmalig mit die­ ser Schlüsseleinheit (1) erfolgreich durchgeführten Authentika­ tion zugeführten Urbildwertinformation entspricht. Stellt der Komparator (17) Übereinstimmung von Ist- und Soll-Berechti­ gungsinformation fest (m′=H(m′′)=H(mi)=mi+1), so erzeugt er das Nutzungsfreigabesignal (SF), das zum einen als an das Gatter (15) rückgeführtes Steuersignal das Überschreiben der betref­ fenden Speicherstelle durch den bei dieser Authentikation zuge­ führten Urbildwert (mi) auslöst und zum anderen zusammen mit der simultan in den anderen beteiligten Steuergeräten erzeugten Nutzungsfreigabeinformation die gesamte Aufhebung der elektro­ nischen Wegfahrsperre bewirkt, indem alle Steuergeräte wieder in ihren betriebsbereiten Zustand gebracht werden. Wenn in einigen Geräteeinheiten Speicherplatz eingespart werden soll, kann vorgesehen werden, in diesen nur einen Teil, z. B. 2 Byte, der gesamten Soll-Berechtigungsinformation (mi+1) einzuspei­ chern und im Komparatorblock (17) nur diesen Teil mit dem entsprechenden Teil des Hash-Funktionswertes (m′) zu verglei­ chen. Um dennoch eine fehlerhafte Entschärfung der Wegfahr­ sperre auszuschließen, die ansonsten wegen des reduzierten Vergleichs besonders bei großem Fangbereich auftreten könnte, wird für mindestens eine Geräteeinheit, z. B. das Schließsteuer­ gerät, der vollständige Codevergleich beibehalten, dessen Resultat den Geräten mit verkürztem Vergleich übermittelt wird, wobei die dortige Erzeugung der Nutzungsfreigabeinformation an das Vorliegen eines positiven Ergebnisses des vollständigen Codevergleichs gekoppelt wird.
Stellt der Komparator-Funktionsblock (17) hingegen eine Nicht­ übereinstimmung fest, so sendet er, vorausgesetzt, daß die Anzahl aufeinander folgender Nichtübereinstimmungen noch nicht den Fangbereich mit einer Anzahl (N) möglicher Wiederholungen überschritten hat, ein Nichtübereinstimmungssignal (NU) an das Gatter (18), das daraufhin den geräteseitig erzeugten Hash- Funktionswert (m′) an die Eingangsseite der Hash-Funktionswert­ erzeugungseinheit (14) zurückleitet, woraufhin letztere mit diesem Eingangswert (m′) eine erneute Hash-Funktionswertbildung durchführt, deren Ergebnis dann als neue Ist-Berechtigungsin­ formation an den Komparator (17) gegeben wird. Diese rekursive Hash-Funktionswerterzeugung wird so lange fortgesetzt, bis ent­ weder der Komparator (17) Übereinstimmung einer der nachein­ ander erzeugten Ist-Berechtigungsinformationen mit der vorlie­ genden Soll-Berechtigungsinformation (mi+1) feststellt, wonach wie oben angegeben fortgesetzt wird, oder die Schleifenwieder­ holungsanzahl die durch den Fangbereich vorgegebene Maximalan­ zahl (N), z. B. N = 100 000, erreicht hat, wonach der Authentika­ tionsvorgang als unberechtigt unter Aufrechterhaltung der Weg­ fahrsperre abgebrochen wird, oder eine neue Benutzercodeinfor­ mation mit richtigen Identifikationsdaten ankommt, wonach der Schleifenzähler rückgesetzt und die Hash-Funktionswerterzeugung mit dem neu übertragenen Urbildwert fortgesetzt wird.
Wie bereits oben kurz ausgeführt, dient der Fangbereich dazu, eine durch eine oder mehrmalige Schlüsselbetätigung ohne Em­ pfangskontakt der Fahrzeugseite für das zugehörige Sendeproto­ koll außer Tritt geratene Synchronisierung von Schlüssel- und Fahrzeugseite dadurch wiederherzustellen, daß die Fahrzeugseite mittels einer entsprechend häufigen, aufeinanderfolgenden Hash- Funktionswertbildung innerhalb des Fangbereichs auf den inzwi­ schen vorliegenden Urbildwert im Schlüssel (1) nachgestellt wird. Wenn der Fangbereich (N) gerade so groß gewählt ist wie die Mächtigkeit (n) der Urbildwertfolge, kann die Synchronisa­ tion für einen berechtigenden Schlüssel stets wiederhergestellt werden. Aufgrund der hashfunktionswerttypischen Eigenschaft, daß die Funktionswerte praktisch mit gleicher Wahrscheinlich­ keit über den gesamten Wertebereich verteilt angenommen werden, und der Tatsache, daß selbst bei Verwendung eines reduzierten Algorithmus mit 8-Byte-Werten ca. 10²⁰ Funktionswerte möglich sind, ist es auch bei einer Fangbereichgröße von N=10⁵ ver­ schwindend unwahrscheinlich, daß ein Unberechtigter, selbst wenn er die Identifikationsprüfung auf irgendeine Weise bewäl­ tigt haben sollte, durch probeweises Senden von Urbildfunk­ tionswerten unter Mithilfe des Fangbereiches eine positive Authentikation erreicht, wobei häufigere derartige Versuche ggf. durch ein entsprechendes Zeit- oder Versuchsanzahlfenster verhindert werden können, innerhalb welchem eine berechtigende Authentikation auftreten muß, während ansonsten die Fahrzeug­ nutzung gegenüber weiteren Authentikationsversuchen gesperrt bleibt, wobei eine derartige Sperre z. B. nur vom Fahrzeugher­ steller über die Diagnoseschnittstelle (19) entriegelbar ist. Es versteht sich, daß die Arbeitsweise der Fahrzeugsicherungs­ einrichtung analog für jeden beliebigen weiteren Authentifika­ tionsvorgang derselben sowie anderer Schlüsseleinheiten wie oben beschrieben abläuft.
Die Wahl eines zur Mächtigkeit der Urbildwertfolge (n) gleich­ großen Fangbereichs (N=n) ergibt des weiteren eine sehr kom­ fortable Möglichkeit, einen Ersatzschlüssel anzufertigen. Wie oben erwähnt, wurde beim Schlüsselhersteller (SH) der Urbild­ startwert (m₀) durch oftmalige Hash-Funktionswertbildung aus einem schlüsselspezifischen Anfangszufallswert (r₀) erzeugt, z. B. durch T-fache Anwendung, d. h. m₀ = HT(r₀), mit beispiels­ weise T = 400 000. Soll nun ein Ersatzschlüssel bereitgestellt werden, wird er beim Schlüsselhersteller (SH) wie der ursprüng­ liche Schlüssel initialisiert, mit der Ausnahme, daß ausgehend vom gleichen Anfangszufallswert (r₀) als Urbildstartwert (m₀′) der Wert m₀′ = HT-N(r₀) gewählt wird. Nun wird mit diesem Er­ satzschlüssel ein Authentikationsdialog mit dem Fahrzeug ge­ führt. Der Ersatzschlüssel sendet dabei zuerst den Wert x = H(m′n-1) = Hn-1(m₀′) = HT-1(r₀) an das Fahrzeug. Dieser Wert liegt jedoch mit Sicherheit im Fangbereich der Fahrzeugseite, denn es folgt daraus, daß HN(x) = HT+N -1 (r₀) = HN-1(m₀) ist. Der Ersatzschlüssel wird damit automatisch durch den erstmali­ gen Authentikationsdialog über den Fangbereich als berechtigen­ der Schlüssel interpretiert, wodurch gleichzeitig der aktuell übermittelte Wert (x) in die fahrzeugseitigen Soll-Berechti­ gungsinformationsspeicher (16) übernommen wird. Dies macht wie­ derum gleichzeitig den ursprünglichen Schlüssel automatisch un­ gültig, da dessen Werte mit Sicherheit außerhalb des Fangbe­ reichs des neuen Urbildwertes (x) liegen. Ein gesonderter Sperrvorgang für den ursprünglichen und beispielsweise ver­ lorengegangenen Schlüssel ist damit unnötig. Mit dieser Vor­ gehensweise lassen sich eine Anzahl T/N von Ersatzschlüsseln nacheinander authentisieren, als konkretes Beispiel ergibt sich bei T=400 000 und N=n=100 000 eine Bereitstellung von vier nach­ einander einsetzbaren Schlüsseln derselben Schlüsselnummer. Selbstverständlich ist je nach Bedarf alternativ eine Ersatz­ schlüsselimplementierung im Feld durch Verwendung eines zusätz­ lichen Verschlüsselungsverfahrens, beispielsweise des asymme­ trischen, in der Kryptographie bekannten RSA-Signaturverfahrens (beschrieben in Annex C von ISO/IEC JTC1/SC20/WG N115, DIS 9594-8, Gloucester, Nov. 1987) oder des symmetrischen DES (data encryption standard)-Verfahrens, realisierbar, insbesondere, wenn der Fangbereich kleiner als die Mächtigkeit der Urbild­ wertfolge gewählt wird und daher die obige Technik der Ersatz­ schlüsselimplementierung nicht möglich ist. Des weiteren kommt eine Ersatzschlüsselimplementierung als Sonderfunktion über die Diagnoseschnittstelle und den Sonderfunktionsspeichers (20) in Betracht.
Die Sicherheit des Systems gegenüber unberechtigten Authenti­ kationsangriffen ergibt sich insbesondere unter Berücksichti­ gung folgender Punkte. Ein Angreifer kann die nächste Zufalls­ information (RND) nicht vorhersagen, da sich die Eingabewerte (RNDa) und (mi+1) für die zufallsinformationserzeugende Einheit (24) nicht vorhersagbar wiederholen. Der in der Codierstufe (4) erzeugte Hashfunktionswert zur Erstellung einer korrekten Authentikationsnachricht kann von einem Angreifer ohne die Schlüsseleinheit (1) nicht berechnet werden, da die geheime Information (g) in die Rechnung eingeht. Selbst wenn ein An­ greifer über eine Schlüsseleinheit (1) verfügt, kann er ohne Fahrzeugkontakt diesen Codier-Hashfunktionswert nicht ermit­ teln, solange nicht die Zufallsinformation (RND) vom Fahrzeug empfangen wird. Wegen der praktischen Nichtumkehrbarkeit der Hashfunktion ist es für einen Angreifer nicht möglich, aus abgehörten Start- oder Authentikationsinformationen auf die geheime Information (g) zu schließen. Innerhalb des durch den fahrzeugseitigen Zeitgeber vorgegebenen Zeitfensters hat ein Angreifer nach dem Absenden einer Zufallsinformation folglich keine bessere Möglichkeit, als die Authentikationsnachricht zu raten, was bei einer Nachrichtenlänge von 8 Byte praktisch unwahrscheinlich ist. Insbesondere helfen ihm abgehörte frühere Authentikationsnachrichten hierzu nicht weiter.
Damit verhindert das System unbefugte Authentikationen durch Fälschen von Authentikationsnachrichten oder Einspielen früherer, abgehörter Authentikationsnachrichten. Das System ist wegen der Existenz der Zeitgeber für den Eingang von Antwort­ nachrichten auch sicher gegen einen Angriff der eingangs ge­ nannten Art geschützt, bei der ein Unbefugter mißbräuchlichen Gebrauch von einer ihm zeitweise überlassenen Schlüsseleinheit macht, indem er eine Authentikationsnachricht abfängt, den Authentikationsvorgang stoppt, die Schlüsseleinheit dann an den berechtigten Benutzer zurückgibt und zu einem späteren Zeit­ punkt die Authentikationsantwort an das Fahrzeug sendet. Um das vorliegende System zu überspielen, bedarf es daher schon eines beträchtlichen technischen Aufwandes und einer hohen Sachkennt­ nis eines potentiellen Angreifers, während es gegen ander­ weitige Angriffe sicher ist.
Die gezeigte Fahrzeugsicherungseinrichtung stellt folglich eine verhältnismäßig wenig aufwendige und dennoch einen sehr hohen Schutz bietende Sicherung vor unberechtigter Fahrzeugfremd­ nutzung zur Verfügung, bei der die geschützte Abspeicherung geheimer Codeinformationen auf der Fahrzeugseite nur in einer Geräteeinheit erforderlich ist, was die Einbeziehung einer Vielzahl von weiteren Fahrzeuggeräteeinheiten ohne sicherheits­ logistische Probleme erlaubt. Speziell kann noch bemerkt werden, daß für den Hashfunktionscode 64 Bit ausreichen und daher die Übertragungszeit sowie der rechentechnische Aufwand deutlich geringer sind als bei einer ebenfalls denkbaren Verwendung des RSA-Verfahrens, das als ein asymmetrisches Ver­ schlüsselungsverfahren ebenfalls nur eine einseitige Abspeiche­ rung einer geheimen Information benötigt, jedoch eine hohe Wortlänge von 512 Bit hat und somit unter Berücksichtigung der bei einem Fahrzeug vorhandenen Rechenkapazitäten relativ lange Rechen- und Übertragungszeiten erfordert.
Es versteht sich, daß zu obigem Beispiel nur die erfindungs­ wesentlichsten Einheiten und Operationen erwähnt und daneben weitere, übliche Einheiten und Betriebsabläufe vorgesehen sind, und daß der Fachmann im Rahmen der Erfindung eine Vielzahl von Modifikationen dieser Ausführungsform vorzunehmen vermag, z. B. die Verwendung einer anderen Einwegfunktion, anwendungsspezi­ fische Veränderungen der konkret angegebenen Zahlenbeispiele, Verzicht auf die Identifikationsprüfung und/oder auf die Son­ derfunktionsmöglichkeit oder Verwendung eines Chipkartensystems anstelle der Infrarotsignalübertragung. Zudem kann selbstver­ ständlich ein anderer Zufallsgenerator und/oder ein anderer Verknüpfungscode in der Codierstufe vorgesehen sein. Schließ­ lich ist als Variante auch der Verzicht auf das Vorsehen einer fahrzeugseitig zu führenden, geheimen Information bei etwas reduzierter Codesicherheit möglich.

Claims (13)

1. Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung, mit
  • - einer benutzerseitigen Schlüsseleinheit (1) zum Empfangen einer Zufallsinformation (RND) und anschließenden Senden einer von dieser abhängigen Benutzercodeinformation (M),
  • - einer fahrzeugseitigen Geräteeinheit (2) zum Senden einer Zufallsinformation (RND) und anschließendem Empfangen einer Benutzercodeinformation (M), zum Bestimmen einer von der empfangenen Benutzercodeinformation abhängigen Ist-Be­ rechtigungsinformation (m′) und Vergleichen derselben mit einer fahrzeugseitig vorliegenden Soll-Berechtigungsinfor­ mation (mi+) sowie zum vergleichsabhängigen Erzeugen einer Nutzungsfreigabeinformation (SF), dadurch gekennzeichnet,daß
  • - die aufeinanderfolgend gesendeten Benutzercodeinformationen (M) sich ändernde Urbildwerte (mi) für eine Einwegfunktion (H) beinhalten, wobei die Urbildwertinformation jeweils mit der Zufallsinformation (RND) codeverknüpft ist,
  • - die Geräteeinheit (2) Mittel (22) zum Extrahieren der Ur­ bildwertinformation (mi) aus einer empfangenen Benutzer­ codeinformation aufweist,
  • - die Soll-Berechtigungsinformation (mi+1) jeweils der Ein­ wegfunktionswert (mi+1=H(mi)) des in einer zugehörigen Benutzercodeinformation enthaltenen Urbildwertes (mi) ist und
  • - die Bestimmung der Ist-Berechtigungsinformation (m′) aus der empfangenen Benutzercodeinformation (M) die Bildung des Ein­ wegfunktionswertes (H(mi)) des in der empfangenen Benutzer­ codeinformation enthaltenen Urbildwertes (mi) beinhaltet.
2. Fahrzeugsicherungseinrichtung nach Anspruch 1, weiter dadurch gekennzeichnet, daß
  • - die aufeinanderfolgend gesendeten Urbildwerte eine Sequenz (m₀, . . . , mn-1) darstellen, die sich durch wiederholte Anwen­ dung der Einwegfunktion (H) ergibt, wobei diese Urbildwerte in gegenüber der Sequenzbildung umgekehrter Reihenfolge zur Bildung der aufeinanderfolgenden Benutzercodeinformationen herangezogen werden, und
  • - die Soll-Berechtigungsinformation jeweils aus demjenigen Ur­ bildwert (mi+1) besteht, der beim letztmalig mit dieser Schlüsseleinheit (1) positiv verlaufenden Nutzungsberechti­ gungs-Prüfvorgang mit der Benutzercodeinformation gesendet worden ist.
3. Fahrzeugsicherungseinrichtung nach Anspruch 2, weiter dadurch gekennzeichnet, daß ausgewählte Folgenglieder der Sequenz (m₀, . . . , mn-1) als Stützstellen sowie eine jeweils aktuelle Teilsequenz zwischen zwei Stützstellen in einem Urbildwertspeicher (3) der Schlüs­ seleinheit (1) abgespeichert sind, wobei spätestens dann je­ weils eine nachfolgende aktuelle Teilsequenz erzeugt und an­ stelle der bisherigen abgespeichert wird, wenn der letzte Ur­ bildwert der bisherigen Teilsequenz gesendet wurde.
4. Fahrzeugsicherungseinrichtung nach Anspruch 2 oder 3, weiter dadurch gekennzeichnet, daß nach jeweils negativem Ergebnis des Vergleichs von Ist- und Soll-Berechtigungsinformation für eine vorgegebene maximale An­ zahl (N) von Wiederholungen eine neue Ist-Berechtigungsinforma­ tion als Einwegfunktionswert der bisherigen Ist-Berechtigungs­ information bestimmt und diese mit der Soll-Berechtigungsinformation verglichen wird.
5. Fahrzeugsicherungseinrichtung nach einem der An­ sprüche 2 bis 4, weiter dadurch gekennzeichnet, daß für die Schlüsseleinheit (1) sukzessiv einsetzbare Ersatz­ schlüsseleinheiten vorgesehen sind, wobei die Urbildwerte einer nachfolgend benutzbaren Schlüsseleinheit eine unmittelbar vor der Urbildwertteilsequenz (mv, . . . , mv+n-1) einer vorhergehen­ den Schlüsseleinheit liegende Teilsequenz (mv-n, . . . , mv-1) einer ausgehend von einem schlüsselnummerspezifisch zentral abgespeicherten Startwert (r₀) durch wiederholte Einwegfunk­ tionswertbildung (HT(r₀)) erzeugten Gesamtsequenz (r₀, . . . , HT(r₀)) bilden.
6. Fahrzeugsicherungseinrichtung nach einem der An­ sprüche 1 bis 5, weiter dadurch gekennzeichnet, daß als Einwegfunktion eine kryptographische Hash-Funktion, insbe­ sondere die RIPEMD-Funktion, verwendet ist.
7. Fahrzeugsicherungseinrichtung nach einem der An­ sprüche 1 bis 6, weiter dadurch gekennzeichnet, daß eine Mehrzahl von fahrzeugseitigen Geräteeinheiten (2) parallel zum Bestimmen der jeweiligen Ist-Berechtigungsinformation aus einer empfangenen Benutzercodeinformation und zum Vergleichen derselben mit der Soll-Berechtigungsinformation sowie zum ver­ gleichsabhängigen Erzeugen einer Nutzungsfreigabeinformation eingerichtet ist.
8. Fahrzeugsicherungseinrichtung nach einem der An­ sprüche 1 bis 7, weiter dadurch gekennzeichnet, daß ein Schließsteuergerät des Fahrzeugs eine fahrzeugseitige Geräteeinheit der Sicherungseinrichtung bildet.
9. Fahrzeugsicherungseinrichtung nach einem der An­ sprüche 1 bis 8, weiter dadurch gekennzeichnet, daß
  • - die jeweils gesendete Benutzercodeinformation (M) eine fahr­ zeug- und eine schlüsselspezifische Identifizierungsinforma­ tion beinhaltet und
  • - die Identifizierungsinformation einer empfangenen Benutzer­ codeinformation in einer fahrzeugseitigen Geräteeinheit (2) vorab auswertbar ist, wobei der Nutzungsberechtigungs- Prüfvorgang nach Erkennung nichtberechtigender, gesendeter Identifizierungsdaten abgebrochen wird.
10. Fahrzeugsicherungseinrichtung nach einem der An­ sprüche 1 bis 9, weiter dadurch gekennzeichnet,daß
  • - mehrere berechtigende benutzerseitige Schlüsseleinheiten für ein Fahrzeug vorgesehen sind, die unterschiedliche Urbild­ wertfolgen (mi) senden,
  • - die gesendeten Benutzercodeinformationen (M) jeweils eine Schlüsselidentifizierungsinformation (IDj) beinhalten und
  • - in jeder beteiligten fahrzeugseitigen Geräteeinheit (2) für jede Schlüsseleinheit eine spezifische Soll-Berechtigungsin­ formation in einen Speicher (16), der mit Hilfe der Schlüs­ selidentifizierungsinformation adressierbar ist, einspei­ cherbar und aus diesem auslesbar ist.
11. Fahrzeugsicherungseinrichtung nach einem der An­ sprüche 1 bis 10, weiter dadurch gekennzeichnet, daß die Mittel (22) zum Extrahieren der Urbildwertinformation aus einer empfangenen Benutzercodeinformation, Mittel (24) zum Erzeugen einer Zufallsinformation, ein Sender (23) und ein Empfänger (10) fahrzeugseitig nur in einer einzigen Geräte­ einheit (2) angeordnet sind, mit der die übrigen in Datenaus­ tauschverbindung stehen.
12. Fahrzeugsicherungseinrichtung nach einem der An­ sprüche 1 bis 10, weiter dadurch gekennzeichnet, daß
  • - in jeder Schlüsseleinheit (1) sowie in einer ausgewählten Geräteeinheit (2) eine geheime Information (g) abgelegt ist und
  • - die Urbildwertinformation (mi) durch die Beziehung mi XOR H(RND XOR g XOR i′)mit der Zufallsinformation (RND) codeverknüpft ist, wobei H eine Hashfunktion und i′ ein sich für jeden Authentikations­ versuch ändernder Zählerwert ist.
13. Fahrzeugsicherungseinrichtung nach Anspruch 12, weiter dadurch gekennzeichnet, daß jeweils eine neue Zufallsinformation (RNDn) durch die Beziehung RNDn = H(RNDa XOR g XOR mi+1)aus der vorangegangenen Zufallsinformation (RNDa), der geheimen Information (g) und der bei einer vorangegangenen Authentikation gesendeten Urbildwertinformation (mi+1) gebildet wird, wobei H eine Hashfunktion bezeichnet.
DE4411450A 1994-04-01 1994-04-01 Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung Expired - Lifetime DE4411450C1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE4411450A DE4411450C1 (de) 1994-04-01 1994-04-01 Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung
GB9506278A GB2288049B (en) 1994-04-01 1995-03-28 Vehicle security device with electronic use authorization coding.
IT95RM000198A IT1278477B1 (it) 1994-04-01 1995-03-29 Dispositivo antifurto per veicoli con codificazione elettronica dell'autorizzazione all'uso.
FR9503766A FR2718091B1 (fr) 1994-04-01 1995-03-30 Dispositif de sûreté contre le vol appliquant un codage électronique d'autorisation d'utilisation pour véhicule.
JP10988595A JP2673941B2 (ja) 1994-04-01 1995-03-31 使用権限を電子的に符号化される車両保全装置
US08/415,377 US5708712A (en) 1994-04-01 1995-04-03 Vehicle security device with electronic use authorization coding

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE4411450A DE4411450C1 (de) 1994-04-01 1994-04-01 Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung

Publications (1)

Publication Number Publication Date
DE4411450C1 true DE4411450C1 (de) 1995-03-30

Family

ID=6514484

Family Applications (1)

Application Number Title Priority Date Filing Date
DE4411450A Expired - Lifetime DE4411450C1 (de) 1994-04-01 1994-04-01 Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung

Country Status (6)

Country Link
US (1) US5708712A (de)
JP (1) JP2673941B2 (de)
DE (1) DE4411450C1 (de)
FR (1) FR2718091B1 (de)
GB (1) GB2288049B (de)
IT (1) IT1278477B1 (de)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE29509742U1 (de) * 1995-06-14 1995-08-24 Siemens Ag Datenverarbeitungsanlage mit Infrarot-Datenübertragungsschnittstelle und Benutzungskontrollvorrichtung
DE4444798C1 (de) * 1994-12-15 1996-04-11 Siemens Ag Diebstahlschutzeinrichtung für ein Kraftfahrzeug
DE19548019A1 (de) * 1995-02-08 1996-08-14 Honda Motor Co Ltd Datenkommunikationsverfahren und -vorrichtung für Fahrzeuge
DE19532744A1 (de) * 1995-09-05 1997-03-06 Telefunken Microelectron Verfahren zur Diebstahlsicherung motorangetriebener Kraftfahrzeuge
WO1997030424A1 (fr) * 1996-02-15 1997-08-21 Misko, Patrick Procede pour faire autoriser par un serveur l'acces a un service a partir de dispositifs portatifs a microcircuits electroniques du type carte a memoire par exemple
DE19736354A1 (de) * 1997-08-21 1999-02-25 Mannesmann Vdo Ag Diebstahlschutzeinrichtung für ein Kraftfahrzeug
FR2767764A1 (fr) 1997-08-29 1999-03-05 Siemens Ag Procede d'initialisation d'un systeme antivol pour vehicule automobile
DE19607017C2 (de) * 1996-02-24 2000-06-29 Daimler Chrysler Ag Fernbedienungseinrichtung und Betriebsverfahren hierfür, insbesondere zur Ansteuerung von kraftfahrzeugbezogenen Einrichtungen
DE19945660A1 (de) * 1999-09-23 2001-04-26 Siemens Ag System zur Fernbedienung eines Verbrennungsmotors
DE10015644A1 (de) * 2000-03-29 2001-10-11 Bosch Gmbh Robert Vorrichtung zum Datenaustausch mit einem Kraftfahrzeug
DE19841886C2 (de) * 1998-01-22 2003-03-27 Kobil Comp Gmbh Verfahren und Vorrichtung zur Erzeugung von Paßwörtern
DE10158200A1 (de) * 2001-11-28 2003-06-12 Kostal Leopold Gmbh & Co Kg Verfahren zum Durchführen einer schlüssellosen Zugangsberechtigungskontrolle bei einem Kraftfahrzeug
EP1020335A3 (de) * 1999-01-15 2003-08-13 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Authentisieren eines Ersatzschlüssels zum Benutzen eines Fahrzeugs
EP0885787B1 (de) * 1997-06-19 2005-08-17 Toyota Jidosha Kabushiki Kaisha Schlüsselsystem für Fahrzeuge
DE102004024624A1 (de) * 2004-05-18 2005-12-15 Volkswagen Ag Mit einer Verschlüsselung arbeitendes Verfahren zum Diebstahlschutz für ein Kraftfahrzeug und entsprechende Diebstahlschutzvorrichtung
DE102004033393A1 (de) * 2004-07-09 2006-02-02 Siemens Ag Verfahren zur Authentifizierung wenigstens einer ersten mobilen Sende- und Empfangseinrichtung an wenigstens einer Basisstation
DE102004036810A1 (de) * 2004-07-29 2006-03-23 Zf Lenksysteme Gmbh Kommunikationsverfahren für wenigstens zwei Systemkomponenten eines Kraftfahrzeugs
DE102005028772A1 (de) * 2005-06-22 2007-01-04 Daimlerchrysler Ag Verfahren zur Nutzungsberechtigungsfreigabe für ein Fahrzeug und zugehöriges Fahrberechtigungssystem
DE102007056662A1 (de) * 2007-11-24 2009-05-28 Bayerische Motoren Werke Aktiengesellschaft System zur Freischaltung der Funktionalität einer Ablaufsteuerung, die in einem Steuergerät eines Kraftfahrzeugs gespeichert ist
DE102009012687B4 (de) * 2009-03-11 2011-04-07 Continental Automotive Gmbh Verfahren und Vorrichtung zur Generierung einer Berechtigungsinformation für ein Berechtigungssystem
EP2719585A1 (de) * 2012-10-10 2014-04-16 Kabushiki Kaisha Tokai Rika Denki Seisakusho Elektronisches Schlüsselregistrierungssystem
CN103729915A (zh) * 2012-10-10 2014-04-16 株式会社东海理化电机制作所 电子钥匙登录系统及方法

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09303017A (ja) * 1996-05-16 1997-11-25 Sony Corp 識別信号照合装置及び識別信号照合方法
US5938706A (en) * 1996-07-08 1999-08-17 Feldman; Yasha I. Multi element security system
DE19632025C2 (de) * 1996-08-08 1998-07-23 Daimler Benz Ag Authentikationseinrichtung mit elektronischer Authentikationskommunikation
JPH10145353A (ja) * 1996-11-12 1998-05-29 Sony Corp 電子機器及びセキュリティーコード書き換え方法
US6260144B1 (en) 1996-11-21 2001-07-10 Pitney Bowes Inc. Method for verifying the expected postal security device in a postage metering system
US6397328B1 (en) 1996-11-21 2002-05-28 Pitney Bowes Inc. Method for verifying the expected postage security device and an authorized host system
WO1998026534A1 (en) * 1996-11-29 1998-06-18 Motorola Inc. Authentication system and method for a remote keyless entry system
US6133853A (en) 1998-07-30 2000-10-17 American Calcar, Inc. Personal communication and positioning system
US5883443A (en) * 1997-06-27 1999-03-16 Ut Automotive Dearborn, Inc. Countermeasure method and system for securing a remote keyless entry system
JP3427694B2 (ja) 1997-09-19 2003-07-22 日産自動車株式会社 車両用セキュリティ装置
US6018291A (en) * 1998-06-04 2000-01-25 Marble; Alan Dale Motor vehicle anti-theft system by random problem simulation
JP3893758B2 (ja) * 1998-07-14 2007-03-14 株式会社デンソー エンジン制御装置及び車両盗難防止装置
EP1123581A4 (de) 1998-10-21 2005-08-10 American Calcar Inc Positionkamera und gps datenaustauchsverfahren
AUPP849299A0 (en) * 1999-02-05 1999-02-25 Australian Arrow Pty Ltd Bi-directional coding system for remote control device security
DE19941346A1 (de) * 1999-08-31 2001-03-01 Mannesmann Vdo Ag Sicherungseinrichtung
US7757272B1 (en) * 2000-06-14 2010-07-13 Verizon Corporate Services Group, Inc. Method and apparatus for dynamic mapping
JP2002070636A (ja) * 2000-08-31 2002-03-08 Suzuki Motor Corp 車載電子制御装置、データ書換システム、データ書換方法、及び記憶媒体
US20020133716A1 (en) * 2000-09-05 2002-09-19 Shlomi Harif Rule-based operation and service provider authentication for a keyed system
DE10112573C2 (de) * 2001-03-15 2003-09-04 Siemens Ag Verfahren zum Initialisieren eines Diebstahlschutzsystems für ein Kraftfahrzeug
US7404080B2 (en) 2001-04-16 2008-07-22 Bjorn Markus Jakobsson Methods and apparatus for efficient computation of one-way chains in cryptographic applications
US6759942B2 (en) * 2001-10-08 2004-07-06 Ford Global Technologies, Llc Vehicle communication system implemented reusing existing vehicle components
US7203317B2 (en) * 2001-10-31 2007-04-10 Hewlett-Packard Development Company, L.P. System for enabling lazy-revocation through recursive key generation
US20040003230A1 (en) * 2002-06-28 2004-01-01 Puhl Larry C. Method and system for vehicle authentication of a service technician
US7228420B2 (en) * 2002-06-28 2007-06-05 Temic Automotive Of North America, Inc. Method and system for technician authentication of a vehicle
ATE416552T1 (de) * 2002-07-26 2008-12-15 Koninkl Philips Electronics Nv Sicherung des zugangs zu multimedia-inhalten durch authentifizierte distanzmessung
JP2004126889A (ja) * 2002-10-01 2004-04-22 Sharp Corp 電子印鑑、リムーバブルメモリ媒体、事前認証システム、携帯機器、携帯電話装置および車両始動制御装置
EP1656289B1 (de) * 2003-08-13 2007-11-07 Idas Informations- Daten- und Automationssysteme GmbH Verfahren zur sicherung eines fahrzeuges gegen diebstahl
US7650509B1 (en) 2004-01-28 2010-01-19 Gordon & Howard Associates, Inc. Encoding data in a password
JP4621732B2 (ja) * 2004-04-29 2011-01-26 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト 車両外部の装置を認証するための方法、制御機器を有する自動車両のバスシステム及び車両外部の装置を認証するためのコンピュータ・プログラム
WO2005116834A1 (de) * 2004-04-29 2005-12-08 Bayerische Motoren Werke Aktiengesellschaft Authentisierung von steuerge­räten in einem fahrzeug
RU2316120C2 (ru) * 2004-05-12 2008-01-27 Корпорация "Самсунг Электроникс" Биометрическая система аутентификации
BRPI0513794A (pt) * 2004-07-29 2008-05-13 Vadium Technology Inc técnicas para reforçar criptografia de enchimento de vez única
US20070194881A1 (en) 2006-02-07 2007-08-23 Schwarz Stanley G Enforcing payment schedules
US7961076B2 (en) * 2006-02-28 2011-06-14 International Business Machines Corporation Methods and apparatuses for remote control of vehicle devices and vehicle lock-out notification
GB2438434B (en) * 2006-05-23 2011-07-27 Nissan Motor Mfg Security systems
US9026267B2 (en) 2007-03-09 2015-05-05 Gordon*Howard Associates, Inc. Methods and systems of selectively enabling a vehicle by way of a portable wireless device
US8018329B2 (en) 2008-12-12 2011-09-13 Gordon * Howard Associates, Inc. Automated geo-fence boundary configuration and activation
US8659404B2 (en) 2008-12-12 2014-02-25 Gordon Howard Associates, Inc. Methods and systems related to establishing geo-fence boundaries and collecting data
US8686841B2 (en) 2008-12-12 2014-04-01 Gordon*Howard Associates, Inc. Methods and systems related to activating geo-fence boundaries and collecting location data
US8581712B2 (en) 2008-12-12 2013-11-12 Gordon * Howard Associates, Inc . Methods and systems related to establishing geo-fence boundaries
US8327153B2 (en) * 2009-12-04 2012-12-04 Electronics And Telecommunications Research Institute Method and system for verifying software platform of vehicle
US8581711B2 (en) 2011-03-22 2013-11-12 Gordon*Howard Associates, Inc. Methods and systems of rule-based intoxicating substance testing associated with vehicles
US8781900B2 (en) 2011-09-09 2014-07-15 Gordon*Howard Associates, Inc. Method and system of providing information to an occupant of a vehicle
ES2805290T3 (es) 2012-03-29 2021-02-11 Arilou Information Security Tech Ltd Dispositivo para proteger un sistema electrónico de un vehículo
JP5958535B2 (ja) * 2012-05-29 2016-08-02 トヨタ自動車株式会社 認証システム及び認証方法
JP5985894B2 (ja) * 2012-06-06 2016-09-06 株式会社東海理化電機製作所 電子キー登録方法
JP5990406B2 (ja) 2012-06-06 2016-09-14 株式会社東海理化電機製作所 電子キー登録方法
US9665997B2 (en) 2013-01-08 2017-05-30 Gordon*Howard Associates, Inc. Method and system for providing feedback based on driving behavior
JP6050136B2 (ja) * 2013-02-15 2016-12-21 株式会社東海理化電機製作所 電子キー登録方法
US8928471B2 (en) 2013-03-14 2015-01-06 Gordon*Howard Associates, Inc. Methods and systems related to remote tamper detection
US9840229B2 (en) 2013-03-14 2017-12-12 Gordon*Howard Associates, Inc. Methods and systems related to a remote tamper detection
US9378480B2 (en) 2013-03-14 2016-06-28 Gordon*Howard Associates, Inc. Methods and systems related to asset identification triggered geofencing
US9035756B2 (en) 2013-03-14 2015-05-19 Gordon*Howard Associates, Inc. Methods and systems related to remote tamper detection
US9013333B2 (en) 2013-06-24 2015-04-21 Gordon*Howard Associates, Inc. Methods and systems related to time triggered geofencing
US9701279B1 (en) 2016-01-12 2017-07-11 Gordon*Howard Associates, Inc. On board monitoring device
JP6479262B2 (ja) * 2016-04-28 2019-03-06 三菱電機株式会社 車上装置、地上データ管理装置、地車間通信セキュリティシステム及び地車間通信方法
US10705820B2 (en) 2017-02-02 2020-07-07 Ford Global Technologies, Llc Method and apparatus for secure multi-cycle vehicle software updates
DE102018222864B3 (de) * 2018-12-21 2020-02-20 Volkswagen Aktiengesellschaft Verfahren zum Deaktivieren eines Kraftfahrzeugs, Deaktivierungssystem für ein Kraftfahrzeug und Kraftfahrzeug
JP2022180088A (ja) * 2021-05-24 2022-12-06 株式会社東海理化電機製作所 通信装置およびプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2911828A1 (de) * 1979-03-26 1980-10-16 Vdo Schindling Verfahren zur drahtlos fernbedienbaren tuerverriegelung, insbesondere einer zentralverriegelung von kraftfahrzeugen und einrichtung zur durchfuehrung des verfahrens
DE3225754A1 (de) * 1982-07-09 1984-01-12 Hülsbeck & Fürst GmbH & Co KG, 5620 Velbert Verfahren zur schliesswirksamen wechselwirkung eines schluesselartigen teils mit einem schlossartigen teil
DE3234539A1 (de) * 1982-09-17 1984-03-22 Siemens AG, 1000 Berlin und 8000 München Verfahren zur code-sicherung bei einem elektronischen schluessel
DE3313098C1 (de) * 1983-04-12 1984-10-11 Daimler-Benz Ag, 7000 Stuttgart Elektronisches Schloßsystem

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
SE429884B (sv) * 1979-06-05 1983-10-03 Thelin & Co Id Select Elektroniskt las
US4928098A (en) * 1984-03-30 1990-05-22 Siemens Aktiengesellschaft Method for code protection using an electronic key
FR2568040B1 (fr) * 1984-07-18 1989-12-01 Lewiner Jacques Installation de commande et de controle des differentes serrures codees d'un ensemble
US4736419A (en) * 1984-12-24 1988-04-05 American Telephone And Telegraph Company, At&T Bell Laboratories Electronic lock system
US4786900A (en) * 1985-09-30 1988-11-22 Casio Computer Co. Ltd. Electronic key apparatus
US5146215A (en) * 1987-09-08 1992-09-08 Clifford Electronics, Inc. Electronically programmable remote control for vehicle security system
AU5358190A (en) * 1989-05-18 1990-12-18 Siemens Aktiengesellschaft Transmission and receiving system
JP3145112B2 (ja) * 1990-04-06 2001-03-12 シーメンス アクチエンゲゼルシヤフト 車両用リモートロック装置
EP0523137B1 (de) * 1990-04-06 1994-09-21 Siemens Aktiengesellschaft Verfahren zum betrieb einer fernbedienbaren zentralverriegelung eines fahrzeuges
FR2685510B1 (fr) * 1991-12-19 1997-01-03 Bull Cps Procede d'authentification, par un milieu exterieur, d'un objet portatif connecte a ce milieu par l'intermediaire d'une ligne de transmission, et systeme pour la mise en oeuvre
US5191610A (en) * 1992-02-28 1993-03-02 United Technologies Automotive, Inc. Remote operating system having secure communication of encoded messages and automatic re-synchronization
DE9304520U1 (de) * 1993-03-25 1994-07-28 Diehl Gmbh & Co Fernsteuerung, insbesondere für eine Riegeleinrichtung
US5377270A (en) * 1993-06-30 1994-12-27 United Technologies Automotive, Inc. Cryptographic authentication of transmitted messages using pseudorandom numbers
US5369706A (en) * 1993-11-05 1994-11-29 United Technologies Automotive, Inc. Resynchronizing transmitters to receivers for secure vehicle entry using cryptography or rolling code
DE4411449C1 (de) * 1994-04-01 1995-03-16 Daimler Benz Ag Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung
DE4428947C1 (de) * 1994-08-16 1996-04-04 Kiekert Ag Schließvorrichtung für ein Kraftfahrzeug mit einer Fernbetätigungseinrichtung sowie mit einem Transponder

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2911828A1 (de) * 1979-03-26 1980-10-16 Vdo Schindling Verfahren zur drahtlos fernbedienbaren tuerverriegelung, insbesondere einer zentralverriegelung von kraftfahrzeugen und einrichtung zur durchfuehrung des verfahrens
DE3225754A1 (de) * 1982-07-09 1984-01-12 Hülsbeck & Fürst GmbH & Co KG, 5620 Velbert Verfahren zur schliesswirksamen wechselwirkung eines schluesselartigen teils mit einem schlossartigen teil
DE3234539A1 (de) * 1982-09-17 1984-03-22 Siemens AG, 1000 Berlin und 8000 München Verfahren zur code-sicherung bei einem elektronischen schluessel
DE3313098C1 (de) * 1983-04-12 1984-10-11 Daimler-Benz Ag, 7000 Stuttgart Elektronisches Schloßsystem

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Diebstahlschutz für das Auto, Temic Telefunken mikroelektronik GmbH, August 93 *
Ripe Integrity Primitives Evaluation, Final Report of RACE Integrity Primitives Evaluation, 6/92, Port 3, Chapter 3, S. 67-109 *

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4444798C1 (de) * 1994-12-15 1996-04-11 Siemens Ag Diebstahlschutzeinrichtung für ein Kraftfahrzeug
DE19548019A1 (de) * 1995-02-08 1996-08-14 Honda Motor Co Ltd Datenkommunikationsverfahren und -vorrichtung für Fahrzeuge
DE29509742U1 (de) * 1995-06-14 1995-08-24 Siemens Ag Datenverarbeitungsanlage mit Infrarot-Datenübertragungsschnittstelle und Benutzungskontrollvorrichtung
DE19532744C2 (de) * 1995-09-05 2000-08-03 Telefunken Microelectron Verfahren zur Diebstahlsicherung motorangetriebener Kraftfahrzeuge
DE19532744A1 (de) * 1995-09-05 1997-03-06 Telefunken Microelectron Verfahren zur Diebstahlsicherung motorangetriebener Kraftfahrzeuge
WO1997030424A1 (fr) * 1996-02-15 1997-08-21 Misko, Patrick Procede pour faire autoriser par un serveur l'acces a un service a partir de dispositifs portatifs a microcircuits electroniques du type carte a memoire par exemple
FR2745135A1 (fr) * 1996-02-15 1997-08-22 Cedric Colnot Procede pour faire autoriser par un serveur l'acces a un service a partir de dispositifs portatifs a microcircuits electroniques du type carte a memoire par exemple
DE19607017C2 (de) * 1996-02-24 2000-06-29 Daimler Chrysler Ag Fernbedienungseinrichtung und Betriebsverfahren hierfür, insbesondere zur Ansteuerung von kraftfahrzeugbezogenen Einrichtungen
EP0885787B1 (de) * 1997-06-19 2005-08-17 Toyota Jidosha Kabushiki Kaisha Schlüsselsystem für Fahrzeuge
DE19736354A1 (de) * 1997-08-21 1999-02-25 Mannesmann Vdo Ag Diebstahlschutzeinrichtung für ein Kraftfahrzeug
DE19737874C1 (de) * 1997-08-29 1999-03-11 Siemens Ag Verfahren zum Initialisieren eines Diebstahlschutzsystems für ein Kraftfahrzeug
FR2767764A1 (fr) 1997-08-29 1999-03-05 Siemens Ag Procede d'initialisation d'un systeme antivol pour vehicule automobile
DE19841886C2 (de) * 1998-01-22 2003-03-27 Kobil Comp Gmbh Verfahren und Vorrichtung zur Erzeugung von Paßwörtern
EP1020335A3 (de) * 1999-01-15 2003-08-13 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Authentisieren eines Ersatzschlüssels zum Benutzen eines Fahrzeugs
DE19945660B4 (de) * 1999-09-23 2004-03-25 Siemens Ag System zur Fernbedienung eines Verbrennungsmotors
DE19945660A1 (de) * 1999-09-23 2001-04-26 Siemens Ag System zur Fernbedienung eines Verbrennungsmotors
DE10015644A1 (de) * 2000-03-29 2001-10-11 Bosch Gmbh Robert Vorrichtung zum Datenaustausch mit einem Kraftfahrzeug
DE10158200A1 (de) * 2001-11-28 2003-06-12 Kostal Leopold Gmbh & Co Kg Verfahren zum Durchführen einer schlüssellosen Zugangsberechtigungskontrolle bei einem Kraftfahrzeug
DE102004024624B4 (de) * 2004-05-18 2017-10-05 Volkswagen Ag Mit einer Verschlüsselung arbeitendes Verfahren zum Diebstahlschutz für ein Kraftfahrzeug und entsprechende Diebstahlschutzvorrichtung
DE102004024624A1 (de) * 2004-05-18 2005-12-15 Volkswagen Ag Mit einer Verschlüsselung arbeitendes Verfahren zum Diebstahlschutz für ein Kraftfahrzeug und entsprechende Diebstahlschutzvorrichtung
DE102004033393A1 (de) * 2004-07-09 2006-02-02 Siemens Ag Verfahren zur Authentifizierung wenigstens einer ersten mobilen Sende- und Empfangseinrichtung an wenigstens einer Basisstation
DE102004033393B4 (de) * 2004-07-09 2007-03-15 Siemens Ag Verfahren zur Authentifizierung wenigstens einer ersten mobilen Sende- und Empfangseinrichtung an wenigstens einer Basisstation
DE102004036810A1 (de) * 2004-07-29 2006-03-23 Zf Lenksysteme Gmbh Kommunikationsverfahren für wenigstens zwei Systemkomponenten eines Kraftfahrzeugs
DE102005028772A1 (de) * 2005-06-22 2007-01-04 Daimlerchrysler Ag Verfahren zur Nutzungsberechtigungsfreigabe für ein Fahrzeug und zugehöriges Fahrberechtigungssystem
DE102007056662A1 (de) * 2007-11-24 2009-05-28 Bayerische Motoren Werke Aktiengesellschaft System zur Freischaltung der Funktionalität einer Ablaufsteuerung, die in einem Steuergerät eines Kraftfahrzeugs gespeichert ist
DE102009012687B4 (de) * 2009-03-11 2011-04-07 Continental Automotive Gmbh Verfahren und Vorrichtung zur Generierung einer Berechtigungsinformation für ein Berechtigungssystem
EP2719585A1 (de) * 2012-10-10 2014-04-16 Kabushiki Kaisha Tokai Rika Denki Seisakusho Elektronisches Schlüsselregistrierungssystem
CN103729915A (zh) * 2012-10-10 2014-04-16 株式会社东海理化电机制作所 电子钥匙登录系统及方法
CN103723119A (zh) * 2012-10-10 2014-04-16 株式会社东海理化电机制作所 电子钥匙登录系统、方法及控制装置
EP2719584A1 (de) * 2012-10-10 2014-04-16 Kabushiki Kaisha Tokai Rika Denki Seisakusho Elektronisches Schlüsselregistrierungssystem
US9306735B2 (en) 2012-10-10 2016-04-05 Kabushiki Kaisha Tokai Rika Denki Seisakusho Electronic key registration system
US9509496B2 (en) 2012-10-10 2016-11-29 Kabushiki Kaisha Tokai Rika Denki Seisakusho Electronic key registration system
CN103723119B (zh) * 2012-10-10 2017-01-11 株式会社东海理化电机制作所 电子钥匙登录系统、方法及控制装置

Also Published As

Publication number Publication date
FR2718091B1 (fr) 1998-02-06
GB2288049B (en) 1997-05-21
GB2288049A (en) 1995-10-04
ITRM950198A1 (it) 1996-09-29
US5708712A (en) 1998-01-13
ITRM950198A0 (it) 1995-03-29
GB9506278D0 (en) 1995-05-17
FR2718091A1 (fr) 1995-10-06
JP2673941B2 (ja) 1997-11-05
IT1278477B1 (it) 1997-11-24
JPH07309208A (ja) 1995-11-28

Similar Documents

Publication Publication Date Title
DE4411450C1 (de) Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung
DE4411449C1 (de) Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung
DE4411451C1 (de) Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung
DE102006011685B4 (de) Sicherheitssystem mit gegenseitiger Berechtigungsüberprüfung mit Wiederherstellung aus einer teilweisen Programmierung
DE4418069C1 (de) Sicherungseinrichtung mit elektronisch codierter Zugangsberechtigung für ein Fahrzeug
DE69919128T2 (de) Im fahrzeug installierte fernsteuerung
DE69729064T2 (de) Resynchronisation durch variablen Tastendruck für fernbedienbare schlüssellose Eingangssystem
EP0671528A1 (de) Elektronisches Code-Schloss, insbesondere zum Deaktivieren einer Kraftfahrzeug-Wegfahrsperre
DE19546775A1 (de) Datenverarbeitungsgerät für Fahrzeug
DE19652256A1 (de) Verfahren zur Sicherung der Datenübertragung
EP0723896A2 (de) Verfahren zur Diebstahlsicherung motorangetriebener Kraftfahrzeuge
EP0925209B1 (de) Fahrzeugsicherungsanordnung
DE102005053485A1 (de) Elektronische Schlüsselvorrichtung für ein Fahrzeug
DE4433499C2 (de) Elektronisches Diebstahlschutzsystem für ein Kraftfahrzeug
EP0937845B1 (de) Freigabesystem für die Freigabe von Funktionen einer Einrichtung
DE69533637T2 (de) Geschütztes Selbstlernen
DE4234822A1 (de) Fernsteuerung fuer betaetigungsmittel, insbesondere fuer ein kraftfahrzeug
DE19600556A1 (de) Verfahren zum Betreiben eines Diebstahlschutzsystems und Diebstahlschutzsystem
DE10112573C2 (de) Verfahren zum Initialisieren eines Diebstahlschutzsystems für ein Kraftfahrzeug
DE4223258C3 (de) Verfahren zur verifizierbaren Übertragung von Daten
DE69817889T2 (de) Sicherheitsvorrichtung für Kraftfahrzeuge und Lernverfahren dafür
DE19932957A1 (de) Fahrzeug-Schlüsselverifizierungsvorrichtung und -Verfahren mit verringerter Verifizierungszeitdauer
EP1619094B1 (de) Elektronische Wegfahrsperre
DE4416705C1 (de) Elektronische Sicherungsvorrichtung und Verfahren zu dessen Betrieb
DE69922345T2 (de) Rollierendes code-verriegelungssystem für ein kraftfahrzeug und identifikation

Legal Events

Date Code Title Description
8100 Publication of patent without earlier publication of application
D1 Grant (no unexamined application published) patent law 81
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DAIMLER-BENZ AKTIENGESELLSCHAFT, 70567 STUTTGART,

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AG, 70567 STUTTGART, DE

8327 Change in the person/name/address of the patent owner

Owner name: SCHWEGLER, GUENTER, 71384 WEINSTADT, DE

Owner name: KROEGER, BERTOLT, DR., 53113 BONN, DE

Owner name: BRINKMEYER, HORST, DR., 71336 WAIBLINGEN, DE

Owner name: DAISS, MICHAEL, DIPL.-ING., 70794 FILDERSTADT, DE

8320 Willingness to grant licences declared (paragraph 23)
R071 Expiry of right
R071 Expiry of right