安全地交换车辆传感器信息制造技术

用于安全地交换传感器信息的技术包括车辆(120)的车载计算系统(102)，所述车载计算系统用于建立可信执行环境以及在所述可信执行环境与协调服务器(108)的相应可信执行环境之间的安全通信信道。私钥(168)被绑定至所述车载计算系统(102)的所述可信执行环境。所述车载计算系统(102)确认所述协调服务器(108)的真实性，接收由所述车辆(120)的传感器(156)生成的传感器数据，并且基于所述车载计算系统(102)的所述可信执行环境来生成证明引用。所述车载计算系统(102)进一步通过所述安全通信信道来向所述协调服务器(108)传输所述传感器数据、所述证明引用以及用所述私钥(168)签名的经密码签名的通信。

【技术实现步骤摘要】
【国外来华专利技术】安全地交换车辆传感器信息
技术介绍
车辆信息娱乐、导航和其他车载计算系统在豪华车辆和低端车辆中都已经变得很普遍并且可以向车辆操作者提供各种驾驶辅助。例如，车载摄像头系统可以用于改善视野、自动平行停车和/或其他目的。此外，倒车雷达和/或自动刹车系统可以用于帮助防止驾驶员追尾行人或其他车辆。车辆通信系统长期以来使驾驶员和/或车辆自身与支援人员通信，以用于紧急和安全响应。例如，一些车辆能够在车辆牵涉到事故中时自己向紧急支援人员(即，在远程位置处)发送报告。进一步地，一些车辆通信系统使车辆所有者能够在所有者偶然将钥匙锁在她的车里的情况下联系安全支援人员以便例如解锁车辆。车辆制造业最近已经开始将重点放在车辆通信系统以及如自动驾驶汽车和自动化公路等概念上。这样做时，已经开发了各种解决方案用于使得能够进行具有非常受限的数据安全性的自组织车辆到车辆通信。附图说明在附图中，以示例的方式而非限制的方式来展示在本文中所描述的概念。为了说明的简单和清晰起见，在附图中所展示的元件不一定按比例绘制。在认为适当的情况下，在附图当中重复参考标号以表示相应或相似的元件。图1是一种用于在车辆之间交换传感器信息的系统的至少一个实施例的简化框图；图2是图1的系统的车载计算系统的环境的至少一个实施例的简化框图；图3是图1的系统的协调服务器的环境的至少一个实施例的简化框图；图4至图5是一种使用图1的系统的车载计算系统来交换传感器信息的方法的至少一个实施例的简化流程图；以及图6至图7是一种使用图1的系统的协调服务器来在车载计算系统之间协调对传感器信息的交换的方法的至少一个实施例的简化流程图。具体实施方式虽然本公开的概念易于经历各种修改和替代形式，但是在附图中已经通过示例的方式来示出了其特定实施例并且将在本文中详细地对其进行描述。然而，应当理解的是，不意在将本公开的概念限制于所公开的特定形式，而相反，意图是覆盖与本公开和所附权利要求书一致的所有修改型式、等效型式和替代型式。在说明书中提到的“一个实施例”、“实施例”、“说明性施例”等指示所描述的实施例可以包括特定特征、结构或特性，但每一个实施例可能或者可能不一定包括该特定特征、结构或特性。此外，这种短语不一定指相同的实施例。此外，当关于实施例而描述了特定特征、结构或特性时，应当认为的是，无论是否进行了明确描述，结合其他实施例来实现这种特征、结构或特性都在本领域的技术人员的知识内。另外，应当理解的是，包括在采用“至少一个A、B和C”的形式的列表中的项目可以指(A)、(B)、(C)、(A和B)、(B和C)、(A和C)或(A、B和C)。类似地，采用“A、B和C中的至少一者”的形式来列出的项目可以指(A)；(B)；(C)；(A和B)；(B和C)；(A和C)；或(A、B和C)。在一些情况下，可以在硬件、固件、软件或其任何组合中实施所公开的实施例。所公开的实施例还可以被实施为由一种或多种瞬态或非瞬态机器可读(例如，计算机可读)存储介质所携带或存储在其上的指令，所述指令可以由一个或多个处理器读取和执行。机器可读存储介质可以被具体化为任何存储设备、机制、或用于存储或传输采用机器可读形式的信息的其他物理结构(例如，易失性或非易失性存储器、介质盘或其他介质设备)。在附图中，可以采用特定安排和/或排序来示出一些结构特征或方法特征。然而，应当理解的是，可能不需要这种特定的安排和/或排序。相反，在一些实施例中，可以采用与在说明性附图中所示出的方式和/或顺序不同的方式和/或顺序来安排这种特征。另外，在具体的图中包括结构特征或方法特征并不意味着暗示在所有实施例中都需要这种特征，并且在一些实施例中，可以不包括这种特征或者这种特征可以与其他特征组合。现在参照图1，用于在车辆之间交换传感器信息的系统100包括车载计算系统102、一个或多个网络104、一个或多个远程车载计算系统106、协调服务器108、证明服务器110、和制造商服务器112。如在图1中所示出的，车载计算系统102包括在车辆120中，并且远程车载计算系统106中的每一个远程车载计算系统包括在相应远程车辆122中。在说明性实施例中，车辆120、122中的每一台车辆被具体化为轮式客运车辆(例如，汽车、卡车、卡车牵引车、公共汽车等)。然而，应当理解的是，在其他实施例中，车辆120、122中的一台或多台车辆可以被具体化为另一种类型的车辆(例如，被具体化为轨道驱动车辆、飞行器、海上船舶、无人驾驶车辆、无人机、或者适合于对所描述的技术和机制的应用的另一种车辆)或者其他可移动装置。车载计算系统102、106中的每一个车载计算系统可以被具体化为能够执行本文中所描述的功能的任何类型的计算系统。尽管在图1中仅说明性地示出了一个协调服务器108、一个证明服务器110、以及一个制造商服务器112，但是在其他实施例中，系统100可以包括任何数量的网络104、协调服务器108、证明服务器110和/或制造商服务器112。例如，对于包括在系统100中的车辆120、122的每一个制造商，系统100可以包括不同的制造商服务器112。进一步地，在一些实施例中，系统100的设备中的一个或多个设备可以形成系统100的另一个设备的一部分(例如，制造商服务器112可以被具体化为协调服务器108的一部分)。如以上所指示的，车辆120、122可以使用当前车载计算系统、采用通常不安全的特别方式来彼此通信。然而，可能已经通过不可信网络和/或从潜在恶意节点处潜在地传输了这种系统中的车辆所接收的传感器数据。例如，在简单的防撞系统中，可以将两台车辆的惯性特性和空间特性(例如、速度、坐标等)传达至彼此，以便允许车辆响应于基于所接收的传感器数据检测到可能的碰撞而采取保护动作(例如，停止车辆)。在以上所描述的不安全系统中，不法之徒可能向所有附近车辆广播虚假数据或欺骗数据，强迫他们识别伪造的即将到来的碰撞并停止他们的行程。系统100允许在车辆之间采用防范这种恶意行为的方式来进行对传感器信息的安全交换。如以下详细地描述的，协调服务器108在车辆120与(多台)远程车辆106之间协调对传感器信息的安全交换。具体地，协调服务器108与车载计算系统102、106中的一个或多个车载计算系统建立安全通信信道。在说明性实施例中，协调服务器108和车载计算系统102证明彼此的安全性(例如，通过证明服务器110)，从而验证协调服务器108和车载计算系统102中的每一者正在可信执行环境中执行与传感器信息的转移相关的指令。在已经验证协调服务器108的安全性之后，车载计算系统102可以将传感器数据转移到协调服务器108中。这样做时，车载计算系统102将相关传感器数据、证明引用(attestationquote)和可信执行环境密钥签名(例如，传感器数据和/或证明引用的)传输至协调服务器108。如以下所描述的，证明引用可以基于车载计算系统102的可信执行环境(例如，以供协调服务器108进行验证)，并且可信执行环境密钥签名可以是例如使用绑定至车载计算系统102的可信执行环境的私有增强隐私标识(EPID)密钥来生成的EPID密钥签名。当然，如以下所描述的，在其他实施例中可以采用其他一对多(One-to-Many)密码签名和/或直接匿名证明方案。在说明性实施例本文档来自技高网...

【技术保护点】
一种车辆的车载计算系统，用于安全地交换传感器信息，所述车载计算系统包括：传感器，所述传感器用于生成传感器数据；可信执行环境模块，所述可信执行环境模块用于在所述车载计算系统上建立可信执行环境，其中，私钥被绑定至所述可信执行环境；以及通信模块，所述通信模块用于在所述可信执行环境与协调服务器的相应的可信执行环境之间建立安全通信信道；其中，所述可信执行环境模块进一步用于：(i)确认所述协调服务器的真实性；(ii)从所述传感器处接收所述传感器数据；(iii)基于所述车载计算系统的所述可信执行环境来生成证明引用；以及(iv)通过所述安全通信信道并由所述通信模块向所述协调服务器传输所述传感器数据、所述证明引用以及用所述私钥签名的经密码签名的通信。

【技术特征摘要】
【国外来华专利技术】1.一种车辆的车载计算系统，用于安全地交换传感器信息，所述车载计算系统包括：传感器，所述传感器用于生成传感器数据；可信执行环境模块，所述可信执行环境模块用于在所述车载计算系统上建立可信执行环境，其中，私钥被绑定至所述可信执行环境；以及通信模块，所述通信模块用于在所述可信执行环境与协调服务器的相应的可信执行环境之间建立安全通信信道；其中，所述可信执行环境模块进一步用于：(i)确认所述协调服务器的真实性；(ii)从所述传感器处接收所述传感器数据；(iii)基于所述车载计算系统的所述可信执行环境来生成证明引用；以及(iv)通过所述安全通信信道并由所述通信模块向所述协调服务器传输所述传感器数据、所述证明引用以及用所述私钥签名的经密码签名的通信。2.如权利要求1所述的车载计算系统，其中，建立所述可信执行环境包括：分配所述车载计算系统的存储器的线性地址空间的连续区域用于执行多条指令，所述连续区域受保护而免受源自所述连续区域外部的存储器访问。3.如权利要求1所述的车载计算系统，其中，确认所述协调服务器的真实性包括：(i)基于所述协调服务器的所述相应的可信执行环境，从所述协调服务器处接收证明引用；以及(ii)验证所述证明引用；并且其中，验证所述证明引用包括：(i)将所述证明引用传输至证明服务器；以及(ii)响应于传输所述证明引用而从所述证明服务器处接收指示所述协调服务器的所述可信执行环境是否安全的证明结果。4.如权利要求1所述的车载计算系统，其中，确认所述协调服务器的真实性包括：验证在所述协调服务器的所述相应的可信执行环境中执行的代码的完整性。5.如权利要求1至4中任一项所述的车载计算系统，进一步包括主处理器以及不同于所述主处理器的安全协处理器，其中，建立所述可信执行环境包括：在所述车载计算系统的所述安全协处理器上建立可信执行环境；其中，接收所述传感器数据包括：由所述车载计算系统的所述可信执行环境通过在所述安全协处理器与所述传感器之间的硬件保护的输入-输出路径来接收所述传感器数据；并且其中，所述私钥被绑定至所述安全协处理器。6.如权利要求1至4中任一项所述的车载计算系统，其中，所述通信模块进一步用于：从所述协调服务器处并通过所述安全通信信道来接收由远程车辆生成的传感器数据；并且其中，所述可信执行环境模块进一步用于：基于由所述车辆的所述传感器生成的传感器数据以及由所述远程车辆生成的传感器数据来执行动作。7.如权利要求1至4中任一项所述的车载计算系统，其中，所述私钥被配设给所述可信执行环境。8.如权利要求1至4中任一项所述的车载计算系统，其中，所述私钥是与可由所述协调服务器访问的公共增强隐私标识密钥相对应的私有增强隐私标识密钥。9.一种由车载计算系统安全地交换传感器信息的方法，所述方法包括：由所述车载计算系统在所述车载计算系统上建立可信执行环境；由所述车载计算系统在所述可信执行环境与协调服务器的相应的可信执行环境之间建立安全通信信道；由所述可信执行环境确认所述协调服务器的真实性；由所述可信执行环境接收由所述车辆的传感器生成的传感器数据；由所述可信执行环境基于所述车载计算系统的所述可信执行环境来生成证明引用；以及通过所述安全通信信道并且响应于确认所述协调服务器的真实性而从所述车载计算系统向所述协调服务器传输：(i)所述传感器数据；(ii)所述证明引用；以及(iii)用绑定至所述车载计算系统的所述可信执行环境的私钥签名的经密码签名的通信。10.如权利要求9所述的方法，其中，建立所述可信执行环境包括：分配所述车载计算系统的存储器的线性地址空间的连续区域用于执行多条指令，所述连续区域受保护而免受源自所述连续区域外部的存储器访问。11.如权利要求9所述的方法，其中，确认所述协调服务器的真实性包括：(i)基于所述协调服务器的所述相应的可信执行环境，从所述协调服务器处接收证明引用；以及(ii)验证所述证明引用；并且其中，验证所述证明引用包括：(i)将所述证明引用传输至证明服务器；以及(ii)响应于传输所述证明引用而从所述证明服务器处接收指示所述协调服务器的所述可信执行环境是否安全的证明结果。12.如权利要求9所述的方法，其中，确认所述协调服务器的真实性包括：验证在所述协调服务器的所述相应的可信执行环境中执行的代码的完整性。13....

【专利技术属性】
技术研发人员：M·布朗克，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国,US