WO2006089813A1 - Method for authenticating a module - Google Patents

Method for authenticating a module Download PDF

Info

Publication number
WO2006089813A1
WO2006089813A1 PCT/EP2006/050114 EP2006050114W WO2006089813A1 WO 2006089813 A1 WO2006089813 A1 WO 2006089813A1 EP 2006050114 W EP2006050114 W EP 2006050114W WO 2006089813 A1 WO2006089813 A1 WO 2006089813A1
Authority
WO
WIPO (PCT)
Prior art keywords
memory
module
logic unit
mem
key
Prior art date
Application number
PCT/EP2006/050114
Other languages
German (de)
French (fr)
Inventor
Jochen Kiemes
Gerhard Rombach
Gunnar Schmidt
Karl Asperger
Original Assignee
Siemens Vdo Automotive Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Vdo Automotive Ag filed Critical Siemens Vdo Automotive Ag
Priority to EP06704257A priority Critical patent/EP1851900A1/en
Publication of WO2006089813A1 publication Critical patent/WO2006089813A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Definitions

  • the invention relates to a method for authenticating a second module when assigned to a first module, in particular a microcontroller of a tachograph to a memory, wherein the first module has a first logic unit and a first memory and the second module has a second memory.
  • the invention has therefore set itself the task of developing a method that allows secure authentication of a second module by means of functional units of a first module to prevent manipulation.
  • a particular advantage of the method according to the invention lies in the security against manipulation integrated into the system, since the logic unit is part of the first module, which is as self-sufficient as possible with access to the first memory, the second module based on that in the second
  • a maximum of security against manipulation is achieved according to the invention when the first logic unit at the Clearma ⁇ ligen start following the joining of the first Mo- duls generates a first key with the second module after the authentication of the second module and encrypted using the first key the first data in the two ⁇ th memory writes, on which first data, the first Lo gikisse accesses to perform certain functions.
  • the logic unit is determined, namely the proces ⁇ processing and analysis of incoming signals and generation of outgoing signals, sons- term in particular for controlling the operation of connected modules.
  • the logic unit interprets the incoming signals from the speed sensor and the control panel, and controls the data storage, the other Da ⁇ tenausgabe means outgoing signals the display.
  • the generation of the first key is performed especially before ⁇ part way by means of a preferably tegrated in the logic unit in ⁇ random number generator, so that outside the Lo ⁇ gikuba the first key system-related is unknown.
  • the second key is given from the outside and data forth for the operation of the implementation of the second key in the logic unit particular spatialandbe ⁇ conditions have to be met in order Ver ⁇ according to the invention take relevant safety standards (Common Criteria, ITSEC) is sufficient, due to the self-sufficient process for generating the second key the dispensability of such a security ⁇ cell. If it is possible to prevent the reading of the first key from the logic unit, a manipulation of the arrangement is therefore excluded.
  • the first logic unit accesses the first data encrypted by means of the first key in the second memory in order to carry out its intended function.
  • This also has the great advantage that the two modules from the moment of initial commissioning after assembly are as it were inseparable, to maintain their intended function.
  • the first data stored in the second memory exploit Finally, the first logic unit or the first module and the logic unit or the first module located in the possession of the first key must access the second memory for the intended function, for example the recording and evaluation of operating data of a vehicle or working times of the driver.
  • setting a particular flag may cause the emergency drive system address to be accessed upon restart.
  • the Logikein ⁇ integrated on a computer connected to a first interface of the external memory, the first data read access. Since it makes sense to do this in a secure spatial environment lim - so in a safety cell -. to do, provides access to the logic unit to an external interface ⁇ ask for reading first data no security risk Because assume that manipulation attempts are excluded in the secure environment, in need Since ⁇ tentransfer none encryption. Especially for the tachograph must be the performed by the logic unit Pro ⁇ gram be protected sufficiently specific criteria for the intended function. In this respect, the method according to the invention has a particular suitability for the transmission of an executable program, which is required for the intended function, since the security advantages according to the invention are used simultaneously for secure upload without additional effort.
  • the first module comprises egg ⁇ NEN third erasable memory in which the first key is stored.
  • the erasability of the third SpeI ⁇ Chers is particularly advantageous in combination with a ak ⁇ tive hardware protection, which is formed in such a manner that upon detection of a manipulation attempt, the third
  • Memory is preferably deleted by means of a suitably integrated or monitored external auxiliary power. It makes sense here, if the auxiliary energy storage is included in the active hardware protection, so that the deletion of security-relevant data is ensured due to the interruption of other energy supply. Similarly, functional and cost-effective is the arrangement of the auxiliary energy store outside of the active hardware protection in Kombina ⁇ tion with a monitoring sensor which may be aspalüberwa- deviation of the auxiliary energy accumulator formed.
  • the auxiliary energy storage can be advantageously designed as a lithium battery and be changed out ⁇ due to such modularity. A combination of an internal and external solution is also conceivable.
  • a base operating system and a bootloader can be located in the first subarea of the second memory, which effects the uploading of an instruction code for the intended function of the first module.
  • the logic unit can take on more, preferably all safety-related tasks and, for example, prevent manipulation of the Motorsteue ⁇ tion, in particular on the electronic immobilizer.
  • CANBUS controller area network
  • the logic unit can take on more, preferably all safety-related tasks and, for example, prevent manipulation of the Motorsteue ⁇ tion, in particular on the electronic immobilizer.
  • operationally necessary components of the motor vehicle under the necessity of authentication by the logic unit, first undergo a kind of booting process before they can begin their intended function.
  • the second memory next to the ERS th and the second portion comprises further partial regions, to which the logic unit or in each case engages cher using differing ⁇ cryptological keys reading and / writing to ⁇ .
  • the logic unit or in each case engages cher using differing ⁇ cryptological keys reading and / writing to ⁇ .
  • This particular because naturally gen on the tachograph, and in particular the second memory of the tachograph different unauthorized access SUC ⁇ , for example through workshops, the driver, the commissioner or public control bodies. In this respect, it makes sense if a separate cryptological key is assigned to different subareas of the second memory and the associated security certificate is stored in the logic unit.
  • the logic unit includes a memory protection module ⁇ which access addresses of the second memory and users respectively a security certificate to-ordered and the logic unit for accessing a substancessad- resse of the second memory of the memory protection module receives a corresponding key from the third or fourth memory is released for access or denied access.
  • Fig. 1 a schematic representation of a prepared by the inventive method arrangement for a trip writer.
  • a first module 1 as a logic unit MC and a second module 2 are formed as a second memory MEM.
  • the logic unit MC is connected to the second memory MEM by means of a data bus BUS in combination.
  • the logic unit MC with an external memory 3 and a
  • Controller Area Network CAN data transmitting connected, this connection is connected to an interface controller IFC the logic unit MC.
  • Central part of the logic unit MC is a central processing unit CPU by means of which the logic unit processes the MC a ⁇ individual processes.
  • the central processing unit CPU is connected to other components of the logic unit MC in connection, namely in detail with the interface controller IFC, designed as a fixed memory first memory KMF and designed as an erasable memory third
  • the central processing unit CPU is in a data-transmitting connection with a random number generator RNG and an encryption module CU.
  • the encryption module CU performs all encryption and decryption tasks, which are carried out in exchange with the second memory MEM by means of the data bus BUS.
  • the encryption module CU accesses the first memory KMF and the third memory KME, where a second Key DKl or first key MKl-MKN are located.
  • a memory protection module MPU is also in communication with the encryption module CU and maps for the United ⁇ encryption module CU to access addresses ADRchouzer- tifikate to CERT, on the one hand information on the
  • the second memory MEM is divided into several sub-regions, in particular ⁇ sondere a first portion Tl and the second portion of preparation ⁇ che T2-TN, divided, in which encrypted by various Keyring ⁇ sel DKL or MKL MKN data is stored.
  • DKl portion Tl are encrypted second data D2, namely encrypted boot instructions BC and a boot loader BL, which instructs the first time after joining the first module 1 with the second module 2, the logic unit MC, which memory at which address as to access next.
  • Subareas Tl-TN contain first data Dl, namely user-specific application data and / or application programs.
  • a restart is first carried out.
  • a decryption I. of the boot instructions BC is carried out by means of the encryption module CU by the logic unit MC.
  • Ver ⁇ runs the decryption I. by the second key DKL successful, the logic unit MC assigns the second Spei ⁇ cher MEM, the status of "Authenticated” and loads the boot loader BL also in the central processing unit CPU.
  • An in-circuit ⁇ to the decryption I. central Re ⁇ unit area CPU generates a first key MKl using a random number II. From the random number generator RNG.
  • the subsequent step following the sequence specified by the boot loader BL provides access to the external memory 3 for reading out an instruction code IC.
  • the encryption of the instruction code IC by means of the encryption unit CU follows using the first key MK1 as well as the storage of the encrypted instruction code IC in the area of the second memory MEM whose addresses ADR are assigned to the coding by means of MK1.
  • the instruction code is an executable program required by the logic unit or the first module to maintain the intended function. A loss of the first key therefore means that the functions from the instruction code are no longer available.
  • the area of the boot loader BL is stored encrypted with an emergency running system FS using the second key DK1, the original bootloader BL overwriting IV.
  • the steps I. - IV. Take place in a security cell, so that manipulation is excluded.
  • the first module 1 and the second module 2 are in the specially ⁇ len embodiment of components of a digital drive ⁇ writer DTCO.
  • the logic unit MC is surrounded by an active hardware protection AH, which has an auxiliary power storage B, by means of which even if an external power supply EE, the content of the third memory KME can be deleted if a Manipula ⁇ tion is detected by means of the active hardware protection AH.
  • the auxiliary energy storage B is monitored by means of a monitoring sensor, not shown, in terms of its voltage.

Abstract

The invention relates to a method for authenticating a second module (2) during its allocation to a first module (1), in particular a microcontroller of a tachograph to a memory, the first module having a first logic unit (MC) and a first memory (KMF) and the second module (2) having a second memory (MEM). Previous solutions have been insufficient in addressing the risk of manipulation, especially in the tachograph field (DTCO). The solution provided by the invention is that the second module (2) stores encrypted data, which is accessed by the logic unit (MC) by means of a cryptologic key in order to execute the relevant function.

Description

Beschreibungdescription
Verfahren zur Authentifizierung eines ModulsMethod for authenticating a module
Die Erfindung betrifft ein Verfahren zur Authentifizierung eines zweiten Moduls bei der Zuordnung zu einem ersten Modul, insbesondere eines MikroControllers eines Fahrtschreibers zu einem Speicher, wobei das erste Modul eine erste Logikeinheit und einen ersten Speicher und das zweite Modul einen zweiten Speicher aufweist.The invention relates to a method for authenticating a second module when assigned to a first module, in particular a microcontroller of a tachograph to a memory, wherein the first module has a first logic unit and a first memory and the second module has a second memory.
Bei Vorrichtungen mit hohen Sicherheitsanforderungen gegen Manipulation sind Vorkehrungen, die den manipulatorischenIn devices with high security requirements against manipulation are precautions that the manipulative
Zugriff oder Austausch auf bzw. von Einzelkomponenten verhindern, besonders wichtig. Zu diesen Vorrichtungen zählt insbe¬ sondere ein Fahrtschreiber, wie er in Nutzfahrzeugen zur Aufzeichnung der Betriebsdaten und Arbeitszeiten vorgeschrieben Anwendung findet. Manipulationsversuche können an allen denk¬ baren Systemkomponenten stattfinden, wobei Angriffe auf Speicherkomponenten und Logikeinheiten besonders attraktiv sind. Anforderungen an die Modularität des Aufbaus bedingen, dass Logikeinheiten, gegebenenfalls mit kleineren, schnelleren Speichern und größere Speicherelemente jeweils separate Bau¬ teile sind, die miteinander in Daten- übertragender Verbindung stehen. Ein derartiger modularer Aufbau exponiert insbesondere die Datenübertragung von der Logikeinheit auf den Massenspeicher und den Massenspeicher selbst für Angriffe. Grundsätzlich können die einzelnen Komponenten oder alle Komponenten gemeinsam gegen manipulatorische Angriffe mittels eines so genannten aktiven Hardwareschutzes gesichert werden, was jedoch den vertretbaren Aufwand aus wirtschaftlicher Sicht bei weitem übersteigen würde.Prevent access to or replacement of individual components, especially important. These devices is one in particular ¬ sondere a tachograph as he finds prescribed application in commercial vehicles to record the operating data and working hours. Tampering can take place at all thinking ¬ compatible system components, with attacks on memory components and logic units are particularly attractive. Requirements for the modularity of the structure require that logic units, possibly with smaller, faster memories and larger memory elements are each separate Bau ¬ parts that communicate with each other in data transmission. Such a modular structure particularly exposes the data transfer from the logic unit to the mass storage and the mass storage itself for attacks. Basically, the individual components or all components can be secured together against manipulative attacks by means of a so-called active hardware protection, which would, however, far exceed the reasonable effort from an economic point of view.
Eine Anordnung der eingangs genannten Art eines Fahrtschrei¬ bers ist bereits aus der deutschen Patentschrift DE 41 35 700 C2 bekannt. Das Problem der korrekten Zuordnung einzelner Module des Fahrtschreibers, insbesondere eines Speichers zu ei- nem MikroController bzw. einer Logikeinheit ist dort nicht beseitigt .An arrangement of the aforementioned type of a driving cry ¬ bers is already known from German Patent DE 41 35 700 C2. The problem of the correct assignment of individual modules of the tachograph, in particular a memory to a tachograph. A microcontroller or a logic unit is not eliminated there.
Die Erfindung hat es sich daher zur Aufgabe gemacht, ein Verfahren zu entwickeln, das eine sichere Authentifizierung ei- nes zweiten Moduls durch Funktionseinheiten eines ersten Moduls zur Vermeidung von Manipulationen ermöglicht.The invention has therefore set itself the task of developing a method that allows secure authentication of a second module by means of functional units of a first module to prevent manipulation.
Die erfindungsgemäße Lösung sieht ein Verfahren der eingangs genannten Art mit den Merkmalen der Ansprüche 1 oder 2 vor. Die Unteransprüche beinhalten vorteilhafte Weiterbildungen der Erfindung.The solution according to the invention provides a method of the aforementioned type with the features of claims 1 or 2. The subclaims contain advantageous developments of the invention.
Ein besonderer Vorteil des Verfahrens nach der Erfindung liegt in der in das System integrierten Manipulationssicherheit, da die Logikeinheit Bestandteil des ersten Moduls ist, die unter Zugriff auf den ersten Speicher gleichsam autark in der Lage ist, das zweite Modul anhand der in dem zweitenA particular advantage of the method according to the invention lies in the security against manipulation integrated into the system, since the logic unit is part of the first module, which is as self-sufficient as possible with access to the first memory, the second module based on that in the second
Speicher abgelegten zweiten Daten zu authentifizieren. Dieses Verfahren findet besonders vorteilhafte Anwendung für den mo- dularen Aufbau eines Fahrtschreibers, insbesondere bei der Kombination des Mikrocontrollers des Fahrtschreibers mit ei- nem Massenspeicher, da diese Bauteile bzw. Module einige der für die erfindungsgemäße Sicherheitsfunktion erforderlichen Funktionselemente bereits naturgemäß aufweisen. Gleichzeitig weist insbesondere bei der Anwendung im Bereich des Fahrt¬ schreibers das erfindungsgemäße Verfahren einen großen Syner- gieeffekt mit dem ohnehin beim Start des Fahrtschreibers stattfindenden Funktionsablauf auf, vor allem, wenn es sich bei den zweiten Daten aus dem ersten Teilbereich des zweiten Speichers um für den Bootvorgang der Logikeinheit erforderliche Elemente handelt, beispielsweise um einen Bootloader oder ein Basisbetriebssystem.Memory stored second data to authenticate. This method finds particularly advantageous application for the modular design of a tachograph, in particular in the combination of the microcontroller of the tachograph with a mass memory, since these components or modules naturally already have some of the functional elements required for the safety function according to the invention. The same time, particularly when used in the field of drive ¬ scribe method of the invention a large synergy gieeffekt on the already taking place at the start of the tachograph function sequence, especially if it is at the second data from the first portion of the second memory by for The boot process of the logic unit required elements, such as a boot loader or a base operating system.
Ein Höchstmaß an Sicherheit gegen Manipulation wird nach der Erfindung erreicht, wenn die erste Logikeinheit beim erstma¬ ligen Start im Anschluss an das Zusammenfügen des ersten Mo- duls mit dem zweiten Modul nach der Authentifizierung des zweiten Moduls einen ersten Schlüssel generiert und mittels des ersten Schlüssels verschlüsselte erste Daten in den zwei¬ ten Speicher schreibt, auf welche erste Daten die erste Lo- gikeinheit zur Ausführung bestimmter Funktion zugreift. Bei den bestimmten Funktionen handelt es sich um Funktionen für welche die Logikeinheit bestimmt ist, nämlich die Verarbei¬ tung und Auswertung eingehender Signale und Erzeugung ausgehender Signale, insbesondere zur Steuerung der Funktion sons- tiger verbundener Module. Im speziellen Fall des Fahrtschrei- bers wertet die Logikeinheit beispielsweise die eingehenden Signale aus dem Drehzahlgeber und der Bedienkonsole aus und steuert die Anzeige, die Datenspeicherung, die sonstige Da¬ tenausgabe mittels ausgehender Signale.A maximum of security against manipulation is achieved according to the invention when the first logic unit at the Erstma ¬ ligen start following the joining of the first Mo- duls generates a first key with the second module after the authentication of the second module and encrypted using the first key the first data in the two ¬ th memory writes, on which first data, the first Lo gikeinheit accesses to perform certain functions. In the specific functions, there are functions for which the logic unit is determined, namely the proces ¬ processing and analysis of incoming signals and generation of outgoing signals, sons- term in particular for controlling the operation of connected modules. In the specific case of the logic unit Fahrtschrei- bers example, interprets the incoming signals from the speed sensor and the control panel, and controls the data storage, the other Da ¬ tenausgabe means outgoing signals the display.
Die Generierung des ersten Schlüssels erfolgt besonders vor¬ teilhaft mittels eines vorzugsweise in die Logikeinheit in¬ tegrierten Zufallszahlengenerators, so dass außerhalb der Lo¬ gikeinheit der erste Schlüssel systembedingt unbekannt ist. Während der zweite Schlüssel von außen vorgegeben ist und da- her für den Vorgang der Implementierung des zweiten Schlüssels in die Logikeinheit besondere räumliche Sicherheitsbe¬ dingungen zu erfüllen sind, damit das erfindungsgemäße Ver¬ fahren einschlägigen Sicherheitsstandards (Common Criteria, ITSEC) genügt, bedingt der autarke Vorgang zur Erzeugung des Zweitschlüssels die Entbehrlichkeit einer derartigen Sicher¬ heitszelle. Gelingt es, das Auslesen des ersten Schlüssels aus der Logikeinheit zu verhindern, ist eine Manipulation der Anordnung demnach ausgeschlossen. Dies insbesondere deshalb, weil die erste Logikeinheit zur Ausführung seiner bestim- mungsgemäßen Funktion auf die mittels des ersten Schlüssels verschlüsselten ersten Daten in dem zweiten Speicher zugreift. Das hat darüber hinaus den großartigen Vorteil, dass die beiden Module von dem Augenblick der Erstinbetriebnahme nach dem Zusammenfügen an gleichsam unzertrennlich sind, um ihre bestimmungsgemäße Funktion aufrecht zu erhalten. Die in dem zweiten Speicher abgelegten ersten Daten nützen aus- schließlich der im Besitz des ersten Schlüssels befindlichen ersten Logikeinheit bzw. dem ersten Modul und die Logikeinheit bzw. das erste Modul muss für die bestimmungsgemäße Funktion, beispielsweise die Aufzeichnung und Auswertung von Betriebsdaten eines Fahrzeuges bzw. Arbeitszeiten der Fahrzeugführer auf den zweiten Speicher zugreifen.The generation of the first key is performed especially before ¬ part way by means of a preferably tegrated in the logic unit in ¬ random number generator, so that outside the Lo ¬ gikeinheit the first key system-related is unknown. During the second key is given from the outside and data forth for the operation of the implementation of the second key in the logic unit particular spatial Sicherheitsbe ¬ conditions have to be met in order Ver ¬ according to the invention take relevant safety standards (Common Criteria, ITSEC) is sufficient, due to the self-sufficient process for generating the second key the dispensability of such a security ¬ cell. If it is possible to prevent the reading of the first key from the logic unit, a manipulation of the arrangement is therefore excluded. This is particularly the case because the first logic unit accesses the first data encrypted by means of the first key in the second memory in order to carry out its intended function. This also has the great advantage that the two modules from the moment of initial commissioning after assembly are as it were inseparable, to maintain their intended function. The first data stored in the second memory exploit Finally, the first logic unit or the first module and the logic unit or the first module located in the possession of the first key must access the second memory for the intended function, for example the recording and evaluation of operating data of a vehicle or working times of the driver.
Damit eine erfindungsgemäße Authentifizierung ausschließlich bei der Erstinbetriebnahme erfolgen kann und nicht ein gege¬ benenfalls manipuliertes zweites Modul mit dem ersten Modul zusammengefügt und in Funktion versetzt werden kann, ist es zweckmäßig, wenn mindestens ein Teil des ersten Teilbereichs des zweiten Speichers nach dem Auslesen dieser erfindungsgemäß verschlüsselten Daten von der Logikeinheit gelöscht wird. Auf diese Weise ist es einem gegebenenfalls im Besitz des zweiten Schlüssels befindlichen Individuum auch in manipulatorischer Absicht nicht möglich, eine neue Kombination eines ersten Moduls mit einem zweiten Modul gegebenenfalls mit ge¬ änderter Funktion zu erstellen, da die Irreversibilität auf¬ grund des Löschens der aus dem ersten Teilbereich des zweiten Speichers ausgegebenen zweiten Daten zusätzlich erhöht wird. Besonders zweckmäßig ist hierbei das Überschreiben von zwei¬ ten Daten aus dem ersten Teilbereich mit einem NotlaufSystem, welches im Falle einer Fehlfunktion nach einem Neustart von der Logikeinheit geladen wird. Hierzu ist es zweckmäßig, wenn die Logikeinheit interne Flags aufweist, die dem Modus desIn order for an authentication according to the invention to take place exclusively at the first commissioning and not a gege ¬ possibly manipulated second module can be assembled and put into function with the first module, it is useful if at least a portion of the first portion of the second memory after reading this according to the invention encrypted data is deleted from the logic unit. In this way it is not possible to an individual, optionally held by the second key in manipulatory intention of a new combination to create a first module to a second module optionally having ge ¬ änderter function, since the irreversibility on ¬ due to the deletion of from the second portion of the second memory output is additionally increased. Particularly useful here is the overwriting of two ¬ th data from the first section with a limp home system, which is loaded in case of malfunction after a restart of the logic unit. For this purpose, it is expedient if the logic unit has internal flags that correspond to the mode of the
Bootens abhängig von der Historie des vorhergehenden Betriebs machen. Beispielsweise kann im Falle einer registrierten Manipulation oder eines Systemfehlers das Setzen eines bestimmten Flags bewirken, dass beim Neustart auf die Adresse des Notlaufssystems zugegriffen wird.Booting depending on the history of the previous operation. For example, in the case of registered tampering or system failure, setting a particular flag may cause the emergency drive system address to be accessed upon restart.
Für die Erstinbetriebnahme nach der Zuordnung des zweiten Mo¬ duls zu dem ersten Modul ist es sinnvoll, wenn die Logikein¬ heit auf einen an einer ersten Schnittstelle angeschlossenen externen Speicher die ersten Daten lesend zugreift. Da es sinnvoll ist, diesen Vorgang in einer sicheren räumlichen Um- gebung - also an einer Sicherheitszelle - zu unternehmen, stellt der Zugriff der Logikeinheit auf eine externe Schnitt¬ stelle zum Auslesen von ersten Daten kein Sicherheitsrisiko dar. Da davon auszugehen ist, dass in der sicheren Umgebung Manipulationsversuche ausgeschlossen sind, bedarf dieser Da¬ tentransfer keiner Verschlüsselung. Insbesondere für den Fahrtschreiber muss das von der Logikeinheit ausgeführte Pro¬ gramm für die bestimmungsgemäße Funktion besonderen Kriterien genügend geschützt sein. Insofern besitzt das erfindungsgemä- ße Verfahren eine besondere Eignung zur Übertragung eines ausführbares Programms, welches für die bestimmungsgemäße Funktion erforderlich ist, da die erfindungsgemäßen Sicherheitsvorteile ohne Mehraufwand gleichzeitig zum sicheren Up- load genutzt werden.For initial start after the assignment of the second Mo ¬ duls to the first module, it is useful if the Logikein ¬ integrated on a computer connected to a first interface of the external memory, the first data read access. Since it makes sense to do this in a secure spatial environment gebung - so in a safety cell -. to do, provides access to the logic unit to an external interface ¬ ask for reading first data no security risk Because assume that manipulation attempts are excluded in the secure environment, in need Since ¬ tentransfer none encryption. Especially for the tachograph must be the performed by the logic unit Pro ¬ gram be protected sufficiently specific criteria for the intended function. In this respect, the method according to the invention has a particular suitability for the transmission of an executable program, which is required for the intended function, since the security advantages according to the invention are used simultaneously for secure upload without additional effort.
Zusätzliche Sicherheit wird erzielt, wenn das erste Modul ei¬ nen löschbaren dritten Speicher umfasst, in dem der erste Schlüssel gespeichert ist. Die Löschbarkeit des dritten Spei¬ chers ist besonders vorteilhaft in Kombination mit einem ak¬ tiven Hardwareschutz, der in der Weise ausgebildet ist, dass bei der Erfassung eines Manipulationsversuches der dritteAdditional security is achieved when the first module comprises egg ¬ NEN third erasable memory in which the first key is stored. The erasability of the third SpeI ¬ Chers is particularly advantageous in combination with a ak ¬ tive hardware protection, which is formed in such a manner that upon detection of a manipulation attempt, the third
Speicher bevorzugt mittels einer zweckmäßig integrierten oder überwachten externen Hilfsenergie gelöscht wird. Sinnvoll ist es hierbei, wenn auch der Hilfsenergiespeicher von dem aktiven Hardwareschutz umfasst ist, so dass aufgrund der Unter- brechung sonstiger Energieversorgung die Löschbarkeit sicherheitsrelevanter Daten gewährleistet ist. Gleichermaßen zweckmäßig und kostengünstiger ist die Anordnung des Hilfsenergie- speichers außerhalb des aktiven Hardwareschutzes in Kombina¬ tion mit einer Überwachungssensorik, die als Spannungüberwa- chung des Hilfsenergiespeichers ausgebildet sein kann. Der Hilfsenergiespeicher kann mit Vorteil als Lithium-Batterie ausgebildet sein und aufgrund derartiger Modularität ausge¬ wechselt werden. Auch eine Kombination einer internen und externen Lösung ist denkbar. Sinnvoll ist eine Ausbildung der Logikeinheit derart, dass sie beim erstmaligen Neustart immer auf den ersten Teilbereich des zweiten Speichers zugreift, wo gegebenenfalls weitere Instruktionen zum Booten hinterlegt sind. In dem ersten Teilbereich des zweiten Speichers können sich mit Vorteil ein Basisbetriebssystem und ein Bootloader befinden, der das Uploaden eines Instruction Codes für die bestimmungsgemäße Funktion des ersten Moduls bewirkt.Memory is preferably deleted by means of a suitably integrated or monitored external auxiliary power. It makes sense here, if the auxiliary energy storage is included in the active hardware protection, so that the deletion of security-relevant data is ensured due to the interruption of other energy supply. Similarly, functional and cost-effective is the arrangement of the auxiliary energy store outside of the active hardware protection in Kombina ¬ tion with a monitoring sensor which may be as Spannungüberwa- deviation of the auxiliary energy accumulator formed. The auxiliary energy storage can be advantageously designed as a lithium battery and be changed out ¬ due to such modularity. A combination of an internal and external solution is also conceivable. It makes sense to design the logic unit in such a way that it always accesses the first subarea of the second memory at the first restart, where If necessary, further instructions for booting are deposited. Advantageously, a base operating system and a bootloader can be located in the first subarea of the second memory, which effects the uploading of an instruction code for the intended function of the first module.
Bei einer Integration der nach dem erfindungsgemäßen Verfahren erzeugten Anordnung in ein Kraftfahrzeug ist es sinnvoll, wenn die Anordnung mit einem Controller-Area-Network (CAN- BUS) in Verbindung steht. Hier kann die Logikeinheit weitere, vorzugsweise sämtliche sicherheitsrelevanten Aufgaben übernehmen und beispielsweise Manipulationen an der Motorsteue¬ rung, insbesondere an der elektronischen Wegfahrsperre unterbinden. Grundsätzlich ist es denkbar, dass betriebsnotwendige Komponenten des Kraftfahrzeuges unter der Notwendigkeit der Authentifizierung durch die Logikeinheit zunächst eine Art Bootvorgang durchlaufen, bevor sie ihre bestimmungsgemäße Funktion aufnehmen können.When integrating the arrangement produced by the method according to the invention into a motor vehicle, it makes sense if the arrangement is connected to a controller area network (CANBUS). Here, the logic unit can take on more, preferably all safety-related tasks and, for example, prevent manipulation of the Motorsteue ¬ tion, in particular on the electronic immobilizer. In principle, it is conceivable that operationally necessary components of the motor vehicle, under the necessity of authentication by the logic unit, first undergo a kind of booting process before they can begin their intended function.
Insbesondere in der Anmeldung der Erfindung für Fahrtschreiber ist es sinnvoll, wenn der zweite Speicher neben dem ers- ten und zweiten Teilbereich weitere Teilbereiche umfasst, auf die die Logikeinheit jeweils unter Verwendung unterschiedli¬ cher kryptologischer Schlüssel lesend und/oder schreibend zu¬ greift. Dies insbesondere deshalb, weil naturgemäß auf dem Fahrtschreiber, insbesondere auf dem zweiten Speicher des Fahrtschreibers unterschiedlich autorisierte Zugriffe erfol¬ gen, beispielsweise durch Werkstätten, die Fahrzeugführer, die Inbetriebnehmer oder öffentliche Kontrollorgane. Insofern ist es sinnvoll, wenn verschiedenen Teilbereichen des zweiten Speichers jeweils ein eigener kryptologischer Schlüssel zuge- ordnet ist und das dazugehörige Sicherheitszertifikat in der Logikeinheit hinterlegt ist. Im Sinne eines modularen Aufbaus ist hierbei sinnvoll, wenn die Logikeinheit ein Speicher¬ schutzmodul umfasst, welches Zugriffsadressen des zweiten Speichers und Benutzern jeweils ein Sicherheitszertifikat zu- ordnet und die Logikeinheit bei Zugriff auf eine Zugriffsad- resse des zweiten Speichers von dem Speicherschutzmodul einen entsprechenden Schlüssel aus dem dritten oder vierten Speicher für den Zugriff freigegeben erhält oder den Zugriff verweigert bekommt.In particular, in the application of the invention for tachograph, it is useful if the second memory next to the ERS th and the second portion comprises further partial regions, to which the logic unit or in each case engages cher using differing ¬ cryptological keys reading and / writing to ¬. This particular because naturally gen on the tachograph, and in particular the second memory of the tachograph different unauthorized access SUC ¬, for example through workshops, the driver, the commissioner or public control bodies. In this respect, it makes sense if a separate cryptological key is assigned to different subareas of the second memory and the associated security certificate is stored in the logic unit. In the sense of a modular structure here is useful if the logic unit includes a memory protection module ¬ which access addresses of the second memory and users respectively a security certificate to-ordered and the logic unit for accessing a Zugriffsad- resse of the second memory of the memory protection module receives a corresponding key from the third or fourth memory is released for access or denied access.
In der Folge ist die Erfindung anhand eines speziellen Aus¬ führungsbeispiels unter Bezugnahme auf eine Zeichnung zur Verdeutlichung näher beschrieben. Es zeigt:As a result, the invention with reference to a specific Aus ¬ management example with reference to a drawing for clarity is described in more detail. It shows:
Fig. 1: eine schematische Darstellung einer nach dem erfindungsgemäßen Verfahren erstellten Anordnung für einen FahrtSchreiber .Fig. 1: a schematic representation of a prepared by the inventive method arrangement for a trip writer.
In Fig. 1 sind ein erstes Modul 1 als eine Logikeinheit MC und ein zweites Modul 2 als ein zweiter Speicher MEM ausgebildet. Die Logikeinheit MC steht mit dem zweiten Speicher MEM mittels eines Datenbusses BUS in Verbindung. Daneben ist die Logikeinheit MC mit einem externen Speicher 3 und einemIn Fig. 1, a first module 1 as a logic unit MC and a second module 2 are formed as a second memory MEM. The logic unit MC is connected to the second memory MEM by means of a data bus BUS in combination. In addition, the logic unit MC with an external memory 3 and a
Controller-Area-Network CAN Daten- übertragend verbunden, wobei diese Verbindung an einen Schnittstellencontroller IFC der Logikeinheit MC angeschlossen ist.Controller Area Network CAN data transmitting connected, this connection is connected to an interface controller IFC the logic unit MC.
Zentraler Bestandteil der Logikeinheit MC ist eine zentrale Recheneinheit CPU, mittels derer die Logikeinheit MC die ein¬ zelnen Prozesse bearbeitet. Die zentrale Recheneinheit CPU steht mit weiteren Bestandteilen der Logikeinheit MC in Verbindung, nämlich im Einzelnen mit dem Schnittstellencontroller IFC, einem als Festspeicher ausgebildeten ersten Speicher KMF und einem als löschbaren Speicher ausgebildeten drittenCentral part of the logic unit MC is a central processing unit CPU by means of which the logic unit processes the MC a ¬ individual processes. The central processing unit CPU is connected to other components of the logic unit MC in connection, namely in detail with the interface controller IFC, designed as a fixed memory first memory KMF and designed as an erasable memory third
Speicher KME. Darüber hinaus steht die zentrale Recheneinheit CPU mit einem Zufallszahlengenerator RNG und einem Verschlüsselungsmodul CU in Daten- übertragender Verbindung. Das Verschlüsselungsmodul CU übernimmt sämtliche Verschlüsselungs- und Entschlüsselungsaufgaben, die im Austausch mit dem zweiten Speicher MEM mittels des Datenbusses BUS erfolgen. Hierzu greift das Verschlüsselungsmodul CU auf den ersten Speicher KMF und dem dritten Speicher KME zu, wo sich ein zweiter Schlüssel DKl bzw. erste Schlüssel MKl-MKN befinden. Ein Speicherschutzmodul MPU befindet sich ebenfalls im Austausch mit dem Verschlüsselungsmodul CU und ordnet für das Ver¬ schlüsselungsmodul CU zu Zugriffsadressen ADR Sicherheitszer- tifikate CERT zu, die einerseits Informationen über dieMemory KME. In addition, the central processing unit CPU is in a data-transmitting connection with a random number generator RNG and an encryption module CU. The encryption module CU performs all encryption and decryption tasks, which are carried out in exchange with the second memory MEM by means of the data bus BUS. For this purpose, the encryption module CU accesses the first memory KMF and the third memory KME, where a second Key DKl or first key MKl-MKN are located. A memory protection module MPU is also in communication with the encryption module CU and maps for the United ¬ encryption module CU to access addresses ADR Sicherheitszer- tifikate to CERT, on the one hand information on the
Schlüssel DKl, MKl-MKN und andererseits über die Zugriffs¬ rechte enthalten. Hierbei sind Sicherheitszertifikate CERT Benutzern zugeordnet, die sich in nicht dargestellter Weise an dem System anmelden.Key DKl, MKl-MKN and on the other hand on the access ¬ rights included. Here, security certificates are assigned to CERT users who log in to the system in a manner not shown.
Der zweite Speicher MEM ist in mehrere Teilbereiche, insbe¬ sondere einen ersten Teilbereich Tl und zweite Teilberei¬ che T2-TN, aufgeteilt, in denen mittels verschiedener Schlüs¬ sel DKl bzw. MKl-MKN verschlüsselte Daten gespeichert sind. In dem mittels DKl verschlüsselten Teilbereich Tl befinden sich verschlüsselte zweite Daten D2, nämlich verschlüsselte Bootanweisungen BC und ein Bootloader BL, der beim erstmaligen Neustart nach Zusammenfügen des ersten Moduls 1 mit dem zweiten Modul 2 die Logikeinheit MC instruiert, auf welchem Speicher unter welcher Adresse als nächstes zuzugreifen ist. Die mittels der ersten Schlüssel MKl-MKN verschlüsseltenThe second memory MEM is divided into several sub-regions, in particular ¬ sondere a first portion Tl and the second portion of preparation ¬ che T2-TN, divided, in which encrypted by various Keyring ¬ sel DKL or MKL MKN data is stored. In the encrypted by DKl portion Tl are encrypted second data D2, namely encrypted boot instructions BC and a boot loader BL, which instructs the first time after joining the first module 1 with the second module 2, the logic unit MC, which memory at which address as to access next. The encrypted by means of the first key MKl-MKN
Teilbereiche Tl-TN enthalten erste Daten Dl, nämlich benutzerspezifische Anwendungsdaten und/oder Anwendungsprogramme.Subareas Tl-TN contain first data Dl, namely user-specific application data and / or application programs.
Nach dem Zusammenfügen der beiden Module 1, 2 erfolgt zunächst ein Neustart 0. Im Anschluss an den Neustart 0. er- folgt eine Entschlüsselung I. der Bootanweisungen BC mittels des Verschlüsselungsmoduls CU durch die Logikeinheit MC. Ver¬ läuft die Entschlüsselung I. mittels des zweiten Schlüssels DKl erfolgreich, ordnet die Logikeinheit MC den zweiten Spei¬ cher MEM, den Status "Authentifiziert" zu und lädt den Boot- loader BL ebenfalls in die zentrale Recheneinheit CPU. Im An¬ schluss an die Entschlüsselung I. erzeugt die zentrale Re¬ cheneinheit CPU unter Verwendung einer Zufallszahl II. aus dem Zufallsgenerator RNG einen ersten Schlüssel MKl. Der anschließende Schritt folgend der von dem Bootloader BL vorgegebenen Sequenz sieht den Zugriff auf den externen Speicher 3 vor zum Auslesen eines Instruction Codes IC. Weiterhin folgt die Verschlüsselung des Instruction Codes IC mittels der Verschlüsselungseinheit CU unter Verwendung des ersten Schlüssels MKl sowie die Speicherung des verschlüsselten Instruction Codes IC in dem Bereich des zweiten Speichers MEM, dessen Adressen ADR der Verschlüsselung mittels MKl zugeordnet sind. Bei dem Instruction Code handelt es sich um ein von der Logikeinheit bzw. dem ersten Modul zur Aufrechterhaltung der bestimmungsgemäßen Funktion erforderliches ausführbares Programm. Ein Verlust des ersten Schlüssels bedeutet deshalb, dass die Funktionen aus dem Instruction Code nicht mehr zur Verfügung stehen.After the two modules 1, 2 have been combined, a restart is first carried out. Subsequent to the restart 0, a decryption I. of the boot instructions BC is carried out by means of the encryption module CU by the logic unit MC. Ver ¬ runs the decryption I. by the second key DKL successful, the logic unit MC assigns the second Spei ¬ cher MEM, the status of "Authenticated" and loads the boot loader BL also in the central processing unit CPU. An in-circuit ¬ to the decryption I. central Re ¬ unit area CPU generates a first key MKl using a random number II. From the random number generator RNG. The subsequent step following the sequence specified by the boot loader BL provides access to the external memory 3 for reading out an instruction code IC. Furthermore, the encryption of the instruction code IC by means of the encryption unit CU follows using the first key MK1 as well as the storage of the encrypted instruction code IC in the area of the second memory MEM whose addresses ADR are assigned to the coding by means of MK1. The instruction code is an executable program required by the logic unit or the first module to maintain the intended function. A loss of the first key therefore means that the functions from the instruction code are no longer available.
Anschließend wird der Bereich des Bootloaders BL mit einem NotlaufSystem FS verschlüsselt unter Verwendung des zweiten Schlüssels DKl, den ursprünglichen Bootloader BL Überschreiben IV. gespeichert. Die Schritte I. - IV. erfolgen in einer Sicherheitszelle, so dass Manipulationen ausgeschlossen sind.Subsequently, the area of the boot loader BL is stored encrypted with an emergency running system FS using the second key DK1, the original bootloader BL overwriting IV. The steps I. - IV. Take place in a security cell, so that manipulation is excluded.
Das erste Modul 1 und das zweite Modul 2 sind in dem speziel¬ len Ausführungsbeispiel Bestandteile eines digitalen Fahrt¬ schreibers DTCO.The first module 1 and the second module 2 are in the specially ¬ len embodiment of components of a digital drive ¬ writer DTCO.
Die Logikeinheit MC ist von einem aktiven Hardwareschutz AH umgeben, der einen Hilfsenergiespeicher B aufweist, mittels dessen auch bei Ausfall einer externen Energieversorgung EE der Inhalt des dritten Speichers KME gelöscht werden kann, falls mittels des aktiven Hardwareschutzes AH eine Manipula¬ tion erkannt ist. Der Hilfsenergiespeicher B wird mittels einer nicht dargestellten Überwachungssensorik hinsichtlich seiner Spannung überwacht. The logic unit MC is surrounded by an active hardware protection AH, which has an auxiliary power storage B, by means of which even if an external power supply EE, the content of the third memory KME can be deleted if a Manipula ¬ tion is detected by means of the active hardware protection AH. The auxiliary energy storage B is monitored by means of a monitoring sensor, not shown, in terms of its voltage.

Claims

Patentansprüche claims
1. Verfahren zur Authentifizierung eines zweiten Moduls (2) bei der Zuordnung zu einem ersten Modul (1), insbesonde- re eines Mikrocontrollers eines Fahrtschreibers (DTCO) zu einem Speicher, wobei das erste Modul eine erste Lo¬ gikeinheit (MC) und einen ersten Speicher (KMF) und das zweite Modul (2) einen zweiten Speicher (MEM) aufweist, dadurch gekennzeichnet, dass bei einem Start der ersten Logikeinheit (MC) diese mit dem zugeordneten zweiten Speicher (MEM) in eine Daten- austauschende Verbindung eintritt, in dem ersten Speicher (KMF) ein kryptologischer zweiter Schlüssel (MKl-MKN) abgelegt ist und in einem ersten Teilbereich (Tl) des zweiten Speichers (MEM) verschlüsselte zweite Daten (D2) abgelegt sind, wobei die erste Logikeinheit (MC) mittels des zweiten Schlüssels (MKl-MKN) die zweiten Daten (D2) aus dem ers- ten Teilbereich (Tl) des zweiten Speichers (MEM) entschlüsselt, den Erfolg der Verschlüsselung überprüft und bei erfolgreicher Entschlüsselung das zweite Modul (2) als authentifiziert einstuft.1. A method for authenticating a second module (2) when assigned to a first module (1), in particular a microcontroller of a tachograph (DTCO) to a memory, wherein the first module, a first Lo ¬ gikeinheit (MC) and a first memory (KMF) and the second module (2) has a second memory (MEM), characterized in that at a start of the first logic unit (MC) this enters the associated second memory (MEM) in a data-exchanging connection, in the first memory (KMF) a cryptological second key (MKl-MKN) is stored and in a first portion (Tl) of the second memory (MEM) encrypted second data (D2) are stored, wherein the first logic unit (MC) by means of The second key (MK1-MKN) decrypts the second data (D2) from the first subarea (T1) of the second memory (MEM), checks the success of the encryption, and upon successful decryption checks the second module (2) ) classifies as authenticated.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erste Logikeinheit (MC) bestimmte Funktionen aus¬ führt und bei einem Start einen ersten Schlüssel gene¬ riert und mittels des ersten Schlüssels (DKl) verschlüs¬ selte erste Daten (Dl) in den zweiten Speicher (MEM) schreibt, auf welche erste Daten (Dl) die erste Logik¬ einheit (MC) zur Ausführung der bestimmten Funktionen zugreift . 2. The method according to claim 1, characterized in that the first logic unit (MC) certain functions ¬ leads and at a start riert a first key generated ¬ and doubted by means of the first key (DKL) Locks ¬ first data (Dl) in the second memory (MEM) writes to which first data (Dl) the first logic ¬ unit (MC) accesses to perform the specific functions.
3. Verfahren zur Authentifizierung eines zweiten Moduls (2) und der Zuordnung zu einem ersten Modul (1), insbesonde¬ re eines MikroControllers eines Fahrtschreibers (DTCO) zu einem Speicher, wobei das erste Modul eine erste Lo- gikeinheit (MC) und das zweite Modul (2) einen zweiten3. A method for authenticating a second module (2) and the assignment to a first module (1), in particular re ¬ a microcontroller of a tachograph (DTCO) to a memory, wherein the first module, a first logic unit (MC) and the second module (2) a second
Speicher (MEM) aufweist, wobei die Logikeinheit (MC) be¬ stimmte Funktionen ausführt, insbesondere nach An¬ spruch 1, dadurch gekennzeichnet, dass die erste Logikeinheit (MC) bei einem Start einen ersten Schlüssel (DKl) generiert und mittels des ersten Schlüs¬ sels (DKl) verschlüsselte erste Daten (Dl) in den zwei¬ ten Speicher (MEM) schreibt, auf welche erste Daten (Dl) die erste Logikeinheit (MC) zur Ausführung der bestimm- ten Funktionen zugreift.Having memory (MEM), wherein the logic unit (MC) be ¬ agreed perform functions, in particular according to ¬ claim 1., characterized in that the first logic unit (MC) at a start generates a first key (DKL) and by the first Keyring ¬ sels (DKL) encrypted first data (Dl) writes in the two ¬ th memory (MEM) on which first data (Dl), the first logic unit (MC) to perform the accesses th certain functions.
4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass die Logikeinheit (MC) beim erstmaligen Start im Anschluss an das Zusammenfügen des ersten Moduls (1) mit dem zweiten Modul (2) nach der Authentifizierung des zweiten Moduls (2) den ersten Schlüssel (DKl) generiert.4. The method according to claim 2 or 3, characterized in that the logic unit (MC) at the first start following the joining of the first module (1) with the second module (2) after the authentication of the second module (2) the first Key (DKL) generated.
5. Verfahren nach einem der vorhergehenden Ansprüche 2 - 4, dadurch gekennzeichnet, dass die mittels des ersten Schlüssels (DKl) verschlüsselten ersten Daten (Dl) in einen zweiten Teilbereich (T2) des zweiten Spei- chers (MEM) geschrieben werden.5. The method according to any one of the preceding claims 2-4, characterized in that by means of the first key (DKL) encrypted first data (Dl) are written in a second portion (T2) of the second memory (MEM).
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass mindestens ein Teil des ersten Teilbereichs (Tl) des zweiten Speichers (MEM) nach dem Auslesen der zweiten Daten (D2) mit einem NotlaufSystem (FS) überschrieben wird.6. The method according to claim 5, characterized in that at least a part of the first subregion (T1) of the second memory (MEM) is overwritten after the readout of the second data (D2) with a NotlaufSystem (FS).
7. Verfahren nach einem der Ansprüche 2 - 6, dadurch gekennzeichnet, dass die Logikeinheit (MC) auf einen an einer ersten Schnittstelle angeschlossenen externen Speicher (3) die ersten Daten (Dl) lesend zugreift und die ersten Daten (Dl) ein ausführbares Programm sind.7. The method according to any one of claims 2-6, characterized in that the logic unit (MC) on a connected to a first interface external Memory (3) the first data (Dl) read accesses and the first data (Dl) are an executable program.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Logikeinheit (MC) ein gesondertes Verschlüsselungsmodul (CU) umfasst, wel¬ ches mittels jeweils zugewiesener Schlüssel (DKl, MKl- MKN) Verschlüsselungen und Entschlüsselungen durchführt.8. The method according to any one of the preceding claims, characterized in that the first logic unit (MC) comprises a separate encryption module (CU), wel ¬ ches by means of each assigned key (DKL, MKLKN) performs encryption and decryption.
9. Verfahren nach einem der Ansprüche 1-8, dadurch gekennzeichnet, dass das erste Modul (1) einen löschbaren dritten Speicher (KME) umfasst, in dem der zweite Schlüssel (MKl-MKN) gespeichert ist.9. The method according to any one of claims 1-8, characterized in that the first module (1) comprises an erasable third memory (KME), in which the second key (MKl-MKN) is stored.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die erste Logikeinheit (MC) und der dritte Spei¬ cher (KME) von einem aktiven Hardwareschutz (AH) umgeben sind.10. The method according to claim 9, characterized in that the first logic unit (MC) and the third SpeI ¬ cher (KME) from an active hardware protection (AH) are surrounded.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass der aktive Hardwareschutz (AH) einen Hilfsenergiespei- cher (B) umfasst, mittels dessen der Inhalt des dritten Speichers (KME) auch bei Unterbrechung sonstiger Ener- gieversorgung (EE) löschbar ist.11. The method as claimed in claim 10, characterized in that the active hardware protection (AH) comprises an auxiliary energy store (B) by means of which the content of the third memory (KME) can be erased even if other energy supply (EE) is interrupted.
12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Logikeinheit (MC) derart ausgebildet ist, dass sie bei einem Neustart immer auf den ersten Teilbereich (Tl) des zweiten Speichers (MEM) zugreift.12. The method according to any one of the preceding claims, characterized in that the logic unit (MC) is designed such that it always accesses the first portion (Tl) of the second memory (MEM) at a restart.
13. Verfahren nach Anspruch 7 und 12, dadurch gekennzeichnet, dass in dem ersten Teilbereich (Tl) des zweiten Speichers (MEM) bei erstmaligem Start nach Zusammenfügen des ersten Moduls (1) mit dem zweiten Modul (2) ein Pro- gramm gespeichert ist, das die Anweisung für die Logik- einheit (MC) umfasst, auf die erste Schnittstelle zu¬ zugreifen.13. The method according to claim 7 and 12, characterized in that in the first partial area (Tl) of the second memory (MEM) at the first start after joining the first module (1) with the second module (2) a program is stored that the statement for the logic unit (MC), to access the first interface ¬ .
14. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Logikein- heit (MC) mit einem Controller Area Network (CAN) in Verbindung steht.14. The method according to at least one of the preceding claims, characterized in that the logic unit (MC) is in communication with a controller area network (CAN).
15. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Logikeinheit (MC) einen Zufallszahlengenerator (RNG) umfasst, die eine Zufalls- zahl erzeugt unter Verwendung derer der erste Schlüssel (MKl-MKN) generiert wird.15. The method according to any one of the preceding claims, characterized in that the logic unit (MC) comprises a random number generator (RNG), which generates a random number using which the first key (MKl-MKN) is generated.
16. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Speicher (MEM) ne¬ ben dem ersten und zweiten Teilbereich (Tl, T2) weitere Teilbereiche umfasst, auf die die Logikeinheit (MC) je¬ weils unter Verwendung unterschiedlicher kryptografi- scher Schlüssel (MKl-MKN) lesend und/oder schreibend zu¬ greift .16. The method according to any one of the preceding claims, characterized in that the second memory (MEM) ne ¬ ben the first and second partial area (Tl, T2) comprises further sub-areas, to which the logic unit (MC) depending Weil ¬ using different kryptografi - scher key (MKl-MKN) read and / or write access to ¬ .
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass verschiedenen Benutzern der Anordnung verschiedene Teilbereiche (Tl, T2) des zweiten Speichers (MEM) zugeordnet sind, denen jeweils ein eigener kryptologischer Schlüssel (MKl-MKN) zugeordnet ist.17. The method according to claim 16, characterized in that different users of the arrangement different subregions (Tl, T2) of the second memory (MEM) are assigned, each of which a separate cryptological key (MKl-MKN) is assigned.
18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass die Logikeinheit (MC) ein Speicherschutzmodul (MPU) um¬ fasst, welche Zugriffsadressen (ADR) des zweiten Speichers (MEM) und Benutzern jeweils ein Sicherheitszerti¬ fikat (CERT) zuordnet und das Speicherschutzmodul (MPU) der Logikeinheit (MC) bei Zugriff auf eine Zugriffsad- resse (ADR) des zweiten Speichers (MEM) von dem Spei¬ cherschutzmodul (MPU) einen entsprechenden Schlüs¬ sel (DKl, MKl-MKN) aus dem ersten oder dritten Spei- eher (KMF, KME) für den Zugriff freigibt oder den Zugriff verweigert.18. The method according to claim 17, characterized in that the logic unit (MC), a memory protection module (MPU) to ¬ summarizes which access addresses (ADR) of the second memory (MEM) and users respectively a Sicherheitszerti ¬ fikat (CERT) allocates and the memory protection module (MPU) of the logic unit (MC) with access to a Zugriffsad- ress (ADR) of the second memory (MEM) of the SpeI ¬ cherschutzmodul (MPU) a corresponding Keyring ¬ sel (DKL, MKL MKN) from the first or third SpeI - rather (KMF, KME) for access or denied access.
19. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in dem ersten Teilbe¬ reich (Tl) des zweiten Speichers (MEM) Bootanweisungen gespeichert sind, welche die erste Logikeinheit (MC) beim Start ausliest und ausführt. 19. The method according to any one of the preceding claims, characterized in that in the first Teilbe ¬ rich (Tl) of the second memory (MEM) boot instructions are stored, which reads the first logic unit (MC) at start and executes.
PCT/EP2006/050114 2005-02-24 2006-01-10 Method for authenticating a module WO2006089813A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP06704257A EP1851900A1 (en) 2005-02-24 2006-01-10 Method for authenticating a module

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE200510008928 DE102005008928A1 (en) 2005-02-24 2005-02-24 Method for authenticating a module
DE102005008928.3 2005-02-24

Publications (1)

Publication Number Publication Date
WO2006089813A1 true WO2006089813A1 (en) 2006-08-31

Family

ID=36062508

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/050114 WO2006089813A1 (en) 2005-02-24 2006-01-10 Method for authenticating a module

Country Status (3)

Country Link
EP (1) EP1851900A1 (en)
DE (1) DE102005008928A1 (en)
WO (1) WO2006089813A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008098817A1 (en) * 2007-02-16 2008-08-21 Continental Automotive Gmbh Method and device for securely storing and securely reading user data

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008061710A1 (en) 2008-12-12 2010-06-17 Continental Automotive Gmbh Method for operating a sensor device and sensor device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19527715A1 (en) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Smart card for access to global mobile communication system - has integrated circuit chip using identification and authentication data to control access
WO1997013208A1 (en) * 1995-10-06 1997-04-10 Scientific-Atlanta, Inc. Electronic vehicle log
US20030009667A1 (en) * 2001-07-09 2003-01-09 Sanyo Electric Co., Ltd. Data terminal device that can easily obtain content data again, a program executed in such terminal device, and recording medium recorded with such program
US20030056107A1 (en) * 2001-09-17 2003-03-20 Cammack William E. Secure bootloader for securing digital devices
US20040186994A1 (en) * 1996-12-12 2004-09-23 Herbert Howard C. Cryptographically protected paging system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19527715A1 (en) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Smart card for access to global mobile communication system - has integrated circuit chip using identification and authentication data to control access
WO1997013208A1 (en) * 1995-10-06 1997-04-10 Scientific-Atlanta, Inc. Electronic vehicle log
US20040186994A1 (en) * 1996-12-12 2004-09-23 Herbert Howard C. Cryptographically protected paging system
US20030009667A1 (en) * 2001-07-09 2003-01-09 Sanyo Electric Co., Ltd. Data terminal device that can easily obtain content data again, a program executed in such terminal device, and recording medium recorded with such program
US20030056107A1 (en) * 2001-09-17 2003-03-20 Cammack William E. Secure bootloader for securing digital devices

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008098817A1 (en) * 2007-02-16 2008-08-21 Continental Automotive Gmbh Method and device for securely storing and securely reading user data

Also Published As

Publication number Publication date
EP1851900A1 (en) 2007-11-07
DE102005008928A1 (en) 2006-09-07

Similar Documents

Publication Publication Date Title
EP1959606B1 (en) Safety unit
DE19782169C2 (en) Cryptographically protected paging subsystem
EP1612636A1 (en) Method for archiving data with automatic encryption and decryption
EP2235598B1 (en) Field device and method of operation thereof
WO2014206695A1 (en) Data storage device for protected data exchange between different security zones
DE102018210318B4 (en) Method for securing vehicle components and corresponding vehicle component
DE10238095B4 (en) Method for protection against manipulation of a control unit for at least one motor vehicle component and control unit
DE3318101A1 (en) CIRCUIT ARRANGEMENT WITH A STORAGE AND ACCESS CONTROL UNIT
DE102018127330A1 (en) System-on-chip and method for operating a system-on-chip
WO2011107319A2 (en) Method for verifying a memory block of a nonvolatile memory
EP1760623A2 (en) Safety equipment for electronic equipment
EP2299380A1 (en) Computer with at least one connection for a removable storage medium and method of starting and operating of a computer with a removable storage medium
EP1999521A1 (en) Field device
EP0127809B1 (en) Circuit arrangement comprising a memory and an access control unit
DE102007004280A1 (en) One-chip computer and tachograph
WO2006089813A1 (en) Method for authenticating a module
DE112018007132T5 (en) In-vehicle function access control system, in-vehicle device and in-vehicle function access control method
DE102021003609A1 (en) Method and device for the documentation of operating data and their application for a high-voltage battery system
DE102013202322A1 (en) Method for encrypted transmission of data between two components of control unit, involves transferring encrypted data from first component of control unit to second component of control unit, where encrypted data is decrypted
EP2189921A2 (en) Diagnosis device for connection to a motor vehicle
DE102020207866A1 (en) Method for performing a secure start sequence of a control unit
DE102014222181A1 (en) Method for operating a control device
EP2060988B1 (en) Safety module
DE102018133605A1 (en) Method and device for checking the integrity of modules in a wind turbine
EP3876123B1 (en) Arrangement and operating method for a secure start-up of an electronic device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2006704257

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWP Wipo information: published in national office

Ref document number: 2006704257

Country of ref document: EP