【技术实现步骤摘要】
车载电子控制单元之间的安全通信
[0001]本申请是中国专利申请号为201980010337.1,专利技术名称为“车载电子控制单元之间的安全通信”,申请日为2019年1月25日的进入中国的PCT专利申请的分案申请。
[0002]相关申请的交叉引用
[0003]本申请要求于2018年1月29日提交的美国临时申请序列号No.62/623,304,标题为“AUTOMATED SECURE INCLUSION OF AUTOMOTIVE ECUS INTO A TRUST ZONE”以及于2018年7月5日提交美国申请序列号No.16/027,681,标题为“SECURE COMMUNICATION BETWEEN IN
‑
VEHICLE ELECTRONIC CONTROL UNITS”的优先权,以上通过引用合并于此。
[0004]本文公开的主题涉及包括电子控制单元(ECU)的车辆计算机系统中的安全性。示例性实施方案提出了用于车辆计算机系统中的安全通信(例如,ECU之间的通信)的技术。
技术介绍
[0005]诸如汽车、轮船、火车和飞机之类的车辆通常由在组装线上组装的分立组件组成。这些组件可以包括由几个电子控制单元(ECU)组成的计算机系统。ECU可以是嵌入式系统,每个系统都控制车辆中的一个或更多个电气系统或子系统。ECU数量的增加反过来又增加了车辆计算机系统安全的脆弱性。这种脆弱性可能导致引起流氓或恶意控制的网络威胁。当前,所有ECU的安全连接和自动连接方式都可能受到损害。>
技术实现思路
[0006]根据本专利技术的一个实施方案,提供了一种车载电子控制单元之间的安全通信的系统,其包括:车辆中的多个电子控制单元中的第一电子控制单元,所述第一电子控制单元使得在多个电子控制单元之间能够进行安全通信;以及多个电子控制单元中的第二电子控制单元,所述第二电子控制单元与第一电子控制单元通信;所述第一电子控制单元通过执行以下操作使得所述多个电子控制单元之间能够进行安全通信:向多个电子控制单元中的第三电子控制单元提供安全密钥集,以使得第三电子控制单元能够与第二电子控制单元安全地交换消息;以及向第二电子控制单元提供认证数据,以用于认证在第二电子控制单元和第三电子控制单元之间交换的消息,所述认证数据包括基于安全密钥集的关于与第三电子控制单元通信的一个或更多个属性;以及所述第二电子控制单元进一步执行以下操作:从第三电子控制单元接收安全消息,所述安全消息是利用来自提供给第三电子控制单元的安全密钥集中的安全密钥进行加密签名的;以及通过将认证数据与第二电子控制单元保持的认证信号进行比较来认证安全消息;所述一个或更多个属性包括消息计数属性,所述消息计数属性定义安全密钥的最大消息计数;所述认证信号包括与利用安全密钥签名的消息的数量相对应的消息计数器值;所述第二电子控制单元通过执行以下操作来认证安全消息:当从第三电子控制单元接收到安全消息时,增加消息计数器值,所述消息计数器值对应于利用安全密钥进行加密签名的消息;以及将消息计数器值和最大消息计数进行比较。
[0007]根据本专利技术的一个实施方案,提供了一种车载电子控制单元之间的安全通信的系统,其包括:车辆中的多个电子控制单元中的第一电子控制单元的一个或更多个处理器;以及所述第一电子控制单元的存储器件,所述存储器件存储:认证数据,其用于认证在多个电子控制单元中的第三电子控制单元和第二电子控制单元之间交换的消息,所述认证数据包括基于提供给第三电子控制单元的安全密钥集的关于与第三电子控制单元通信的一个或更多个属性;以及指令集,当由一个或更多个处理器执行所述指令集时,使第一电子控制单元执行以下操作:向多个电子控制单元中的第三电子控制单元提供安全密钥集,以使得第三电子控制单元能够与第二电子控制单元安全地交换消息;向第二电子控制单元提供认证数据,以用于认证在第二电子控制单元和第三电子控制单元之间交换的消息;使第二电子控制单元执行以下操作:从第三电子控制单元接收安全消息,所述安全消息是利用来自提供给第三电子控制单元的安全密钥集中的安全密钥进行加密签名的;以及通过将认证数据与第二电子控制单元保持的认证信号进行比较来认证安全消息;所述一个或更多个属性包括消息计数属性,所述消息计数属性定义安全密钥的最大消息计数;所述认证信号包括与利用安全密钥签名的消息的数量相对应的消息计数器值;所述第二电子控制单元通过执行以下操作来认证安全消息:当从第三电子控制单元接收到安全消息时,增加消息计数器值,所述消息计数器值对应于利用安全密钥进行加密签名的消息;以及将消息计数器值和最大消息计数进行比较。
[0008]根据本专利技术的一个实施方案,提供了一种车载电子控制单元之间的安全通信的方法,其包括:在车辆中的多个电子控制单元的第一电子控制单元存储认证数据,所述认证数据包括基于提供给第三电子控制单元的安全密钥集的关于与第三电子控制单元通信的一个或更多个属性;由第一电子控制单元向多个电子控制单元中的第三电子控制单元提供安全密钥集,以使得第三电子控制单元能够与第二电子控制单元安全地交换消息;由第一电子控制单元向第二电子控制单元提供认证数据,以用于认证在第二电子控制单元和第三电子控制单元之间交换的消息;由第二电子控制单元从第三电子控制单元接收安全消息,所述安全消息是利用来自提供给第二电子控制单元的安全密钥集中的安全密钥进行加密签名的;由第二电子控制单元通过将所述认证数据与第二电子控制单元保持的认证信号进行比较来认证安全消息;所述一个或更多个属性包括消息计数属性,所述消息计数属性定义安全密钥的最大消息计数;所述认证信号包括与利用安全密钥签名的消息的数量相对应的消息计数器值;所述第二电子控制单元通过执行以下操作来认证安全消息:当从第三电子控制单元接收到安全消息时,增加消息计数器值,所述消息计数器值对应于利用安全密钥进行加密签名的消息;以及将消息计数器值和最大消息计数进行比较。
附图说明
[0009]附图中的各个附图仅示出了本主题的示例性实施方案,并且不能被认为是对其范围的限制。
[0010]图1是示出根据一些实施方案的安全系统的架构图,所述安全系统具有用于将车辆电子控制单元(ECU)自动地安全包含到信任区域中的架构。
[0011]图2是示出根据一些替代实施方案的安全系统的架构图,所述安全系统具有用于将车辆ECU自动地安全包含到信任区域中的架构。
[0012]图3是示出根据一些替代实施方案的安全系统的架构图,所述安全系统具有用于将车辆ECU自动地安全包含到信任区域中的架构。
[0013]图4是示出根据一些实施方案的在执行用于使得车辆的多个ECU之间能够进行安全通信的方法时安全系统的组件之间交互的交互图。
[0014]图5是示出根据一些实施方案的在执行用于在车辆的多个ECU上安全地配置固件的方法时安全系统的组件之间交互的交互图。
[0015]图6是示出根据一些实施方案的在执行用于在替换ECU上安全地配置固件的方法时安全系统的组件之间交互的交互图。
[0016]图7是示本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统,其包括:车辆的多个电子控制单元之中的第一电子控制单元;车辆的多个电子控制单元之中的第二电子控制单元;以及车辆的一个或更多个处理器;所述第一电子控制单元配置为执行第一操作,所述第一操作包括向一个或更多个处理器提供第二电子控制单元不再是车辆的多个电子控制单元之中的前一个电子控制单元的替换的指示;所述一个或更多个处理器配置为执行第二操作,所述第二操作包括对被第一电子控制单元指示为是前一个电子控制单元的替换的第二电子控制单元进行验证;以及所述第一电子控制单元配置为执行第一操作,所述第一操作进一步包括:从一个或更多个处理器访问与第二电子控制单元相对应的一个或更多个安全密钥的集合;基于访问的与被第一电子控制单元指示为是前一个电子控制单元的替换的第二电子控制单元相对应的一个或更多个安全密钥的集合,使得第二电子控制单元连接到多个电子控制单元之中的一个或更多个其他电子控制单元;向连接的第二电子控制单元提供与连接的第二电子控制单元相对应的数字证书;以及基于提供的与连接的第二电子控制单元相对应的数字证书,在第二电子控制单元上安装固件。2.根据权利要求1所述的系统,其中,所述第一电子控制单元配置为执行第一操作,所述第一操作进一步包括:基于提供的与连接的第二电子控制单元相对应的数字证书,请求要在第二电子控制单元上安装的固件;并且其中:在第二电子控制单元上安装固件是基于提供的与连接的第二电子控制单元相对应的数字证书来安装由第一电子控制单元请求的固件。3.根据权利要求1所述的系统,其中,所述第一电子控制单元配置为执行第一操作,所述第一操作进一步包括:从车辆的安全子系统访问与连接的第二电子控制单元相对应的数字证书;并且其中:向连接的第二电子控制单元的提供是向连接的第二电子控制单元提供从车辆的安全子系统访问的数字证书。4.根据权利要求1所述的系统,其中,所述第一电子控制单元配置为执行第一操作,所述第一操作进一步包括:基于提供的与连接的第二电子控制单元相对应的数字证书,访问要在第二电子控制单元上安装的固件;并且其中:在第二电子控制单元上安装固件是基于提供的与连接的第二电子控制单元相对应的数字证书来安装由第一电子控制单元访问的固件。5.根据权利要求1所述的系统,其中:由车辆的一个或更多个处理器对被第一电子控制单元指示为是前一个电子控制单元的替换的第二电子控制单元进行验证,使得车辆的安全子系统生成与第二电子控制单元相对应的一个或更多个安全密钥的集合;以及
所述一个或更多个处理器配置为执行第二操作,所述第二操作进一步包括:响应于对被第一电子控制单元指示为是前一个电子控制单元的替换的第二电子控制单元进行验证,通过提供由安全子系统生成的一个或更多个安全密钥的集合,向第一电子控制单元提供与第二电子控制单元相对应的一个或更多个安全密钥的集合。6.根据权利要求1所述的系统,其中,所述一个或更多个处理器配置为执行第二操作,所述第二操作进一步包括:从车辆的安全子系统访问与第二电子控制单元相对应的一个或更多个安全密钥的集合;以及通过提供从车辆的安全子系统访问的一个或更多个安全密钥的集合,向第一电子控制单元提供与第二电子控制单元相对应的一个或更多个安全密钥的集合。7.根据权利要求1所述的系统,其中,所述一个或更多个处理器配置为执行第二操作,所述第二操作进一步包括:从车辆的安全子系统访问与第二电子控制单元相对应的一个或更多个安全密钥的集合;以及向第一电子控制单元发布命令,以将第二电子控制单元连接到多个电子控制单元之中的一个或更多个其他电子控制单元;并且其中:由第一电子控制单元使得第二电子控制单元连接到多个电子控制单元之中的一个或更多个其他电子控制单元是响应于由车辆的一个或更多个处理器向第一电子控制单元发布的命令。8.根据权利要求1所述的系统,其中,所述一个或更多个处理器配置为执行第二操作,所述第二操作进一步包括:建立到车辆的安全子系统的安全连接,所述安全子系统基于到车辆的一个或更多个处理器的安全连接的建立来验证车辆的一个或更多个处理器;并且其中:由车辆的一个或更多个处理器对被第一电子控制单元指示为是前一个电子控制单元的替换的第二电子控制单元进行验证是基于由安全子系统对车辆的一个或更多个处理器的验证。9.根据权利要求1所述的系统,其中:由第一电子控制单元基于提供的与连接的第二电子控制单元相对应的数字证书在第二电子控制单元上安装固件,使第二电子控制单元从不允许车辆的操作的第一状态修改为允许车辆的操作的第二状态。10.一种方法,其包括:由车辆的多个电子控制单元之中的第一电子控制单元向车辆的一个或更多个处理器提供多个电子控制单元之中的第二电子控制单元不再是车辆的多个电子控制单元之中的前一个电子控制单元的替换的指示,车辆的一个或更多个处理器对被第一电子控制单元指示为是前一个电子控制单元的替换的第二电子控制单元进行验证;由第一电子控制单元从车辆的一个或更多个处理器访问与第二电子控制单元相对应的一个或更多个...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。