CN100492248C

CN100492248C - 验证汽车中的控制设备

Info

Publication number: CN100492248C
Application number: CN200480042875.2A
Authority: CN
Inventors: 布克哈德·库尔斯; 霍斯特·基斯林
Original assignee: Bayerische Motoren Werke AG
Current assignee: Bayerische Motoren Werke AG
Priority date: 2004-04-29
Filing date: 2004-04-29
Publication date: 2009-05-27
Anticipated expiration: 2024-04-29
Also published as: CN1942843A; JP2007534544A; WO2005116834A1; JP4469892B2; EP1741019A1; US20070118752A1

Abstract

本发明尤其是涉及用于验证汽车总线系统中控制设备的方法。为了以很小的成本有效防止对存储在控制设备中的过程控制的操纵，建议第一控制设备通过总线系统向验证装置发送验证查询，验证装置采用第一对称密钥对验证查询进行签名，并向第一控制设备发送签名后的验证查询或只发送签名，第一控制设备将所发送的签名与第一控制设备通过对验证查询应用对称密钥所确定的签名进行比较，第一控制设备采用第一对称密钥对所发送的验证查询的签名进行解密，并获得第一散列值，第一控制设备对验证查询应用散列算法，由此获得第二散列值，第一控制设备在比较结果是正面的或一致时被设置运行准备就绪。

Description

验证汽车中的控制设备

技术领域

本发明尤其涉及一种根据权利要求1前序部分的用于验证机动车总线系统中控制设备的方法。

背景技术

为了防止对存储在控制设备中的过程控制或由一个或多个设置在控制设备中的处理器执行的相应软件进行操纵，监控访问控制设备的权限是很重要的。该权限可以通过密码措施来检验。

缺点是，执行相应的密码措施加重了控制设备的处理器和控制设备的其它硬件元件的负担或需要更高效率的、并因此更昂贵的控制设备。尤其对于被使用成千上万次的产品、如对于机动车的控制设备，这非常重要。

发明内容

本发明要解决的技术问题尤其是提供一种方法，其以很小的成本有效地防止操纵存储在控制设备中的过程控制。

该技术问题通过权利要求1中给出的措施以方法的方式解决，以及通过独立的系统权利要求以装置的方式解决。本发明的优选实施方式是从属权利要求的内容。

具体实施方式

根据本发明的用于验证控制设备或用于检验是否是总线系统中授权的控制设备的方法的一个重要方面在于执行以下措施。在第一步骤中，机动车的多个控制设备中第一控制设备通过总线系统向验证装置传送验证查询。

验证查询优选是由该控制设备产生的随机数等，其仅一次性产生。验证装置优选是可以访问对称的密钥并可以执行对称加密方法的中央控制设备。

对称加密方法的执行需要明显比非对称方法更少的控制设备或验证装置的资源、尤其是处理器，从而可以在使用本发明的情况下成本更为低廉地构造控制设备。

验证装置采用第一对称密钥对验证查询进行签名，并向第一控制设备发送签名后的验证查询或只发送签名。通过对验证查询或验证数据应用散列算法，来进行签名或产生签名。散列算法提供特定于具体验证数据的散列值。用第一对称密钥对散列值加密并将加密后的散列值增补到验证查询或验证数据中，并与验证查询一起发送给第一控制设备。可替换地，也可以只将签名或加密后的散列值发送到第一控制设备，因为验证查询是在那里产生的，并因此验证查询已经存在。

第一控制设备将所发送的签名与由第一控制设备通过对验证查询应用对称密钥而确定的签名进行比较。该签名可以由第一控制设备确定，其方法是：被验证装置应用于验证查询以确定签名的同一散列算法也被第一控制设备应用于验证查询。又得到一个散列值。将该散列值或基于该散列值通过利用对称密钥而形成的签名与所发送的签名或从所发送的签名中重新利用对称密钥所获得的散列值进行比较。

在比较结果是正面的时或在一致时，第一控制设备和验证装置互换地得到验证，即对控制设备来说验证装置是真实或授权的，反之亦然。相应地，第一控制设备在比较结果正面或一致时优选被设置为运行准备就绪。可替换地或补充地，验证装置可以对第一控制设备的电子存储器进行写访问和/或读访问。

在本发明的一个优选实施例中，总线系统的一个或多个其它控制设备以上述方式与验证装置执行验证。因此，通过该措施，可以检验未授权的控制设备或未授权的验证装置是否位于总线系统中。

在本发明的另一实施例中，相对于验证装置验证控制设备是按顺序进行的。这减小了所需要的硬件资源。

在本发明的一个实施例中，机动车只有在总线系统的基本上所有控制设备都已执行了验证方法并得到正面的比较结果时才能运行。由此，可以保证总线系统的运行可靠性和总线用户的兼容性。同样，如果在总线系统或控制设备中集成了防盗锁，则该措施提高了配备有根据本发明的总线系统的机动车的防盗性能。

在本发明的另一实施例中，分别在开动汽车之前、优选在打开汽车之后执行验证方法。通过该措施，定期地检验运行可靠性、兼容性等等。

在本发明的一个实施例中，在开动汽车之前基本上只对开动汽车时必须使用的控制设备执行根据本发明的验证方法，以使汽车在短的起步时间(Vorlaufzeit)中—如果需要—就运行准备就绪。然后，可以在汽车启动过程之后对其它控制设备执行根据本发明的验证方法，而不妨碍汽车启动。

在本发明的另一实施例中，基本上所有控制设备在执行验证方法时都采用同一对称密钥。该措施使密钥管理变得简单，此外还具有以下优点，即所涉及汽车的控制设备由此相互对应。

在本发明的一个实施例中，对称密钥对不同汽车来说是变化的，第一汽车的控制设备在执行本发明的验证方法时采用第一对称密钥，而第二汽车的相同控制设备在执行该方法时采用第二对称密钥。

对称密钥优选被这样“安放”在总线系统中，使得其只能由验证装置和参与该方法的控制设备读取，即保持保密并且不能被未经授权地更改。在本发明的一种实施方式中，对称密钥分别存储在每个控制设备的不能从外部读取或更改的引导区中以及验证装置的相应区域中。

由于对称密钥对不同汽车来说是不同的，因此侦查(Ausspehen)具体汽车的对称密钥相对来说是无害的。当然对于从“适用”同类型的所有汽车的汽车中侦查对称密钥来说完全是另一回事。

在本发明的一个实施例中，本发明的方法可以以相反的方向执行，即验证装置向第一控制设备发送验证查询，第一控制设备用第一对称密钥对验证查询签名，并向验证装置发送签名后的验证查询。

其中，比较被从控制设备转移给验证装置。由此对每个控制设备减轻了资源负担，而对验证装置增加了资源负担。多个资源解负相对于一个资源加负就导致了硬件成本的降低。

在本发明的一个实施例中，验证装置通过与汽车外部装置执行非对称加密方法进行另一验证检查，尤其是公共密钥方法。

在本发明的一个实施例中，验证装置向汽车外部装置发送验证查询或验证数据。汽车外部装置对验证查询或验证数据应用散列算法，由此获得散列值。用保密的私人密钥对散列值加密，并且加密后的散列值被增补到验证查询或验证数据中，即对验证查询进行签名，并将签名后的验证查询或只将签名-即用保密密钥加密的散列值-发送给验证装置。验证装置同样对验证查询应用散列算法，其结果是第二散列值。此外，验证装置利用与所述私人的保密密钥互补的公开密钥对由汽车外部装置所获得的加密后的散列值进行解密，并将第一散列值与第二散列值比较。如果比较是正面的，即两个散列值一致，则汽车外部装置相对于汽车中的验证装置得到成功验证。在此基础上，可以在验证装置的控制下让汽车外部装置对一个或多个控制设备的一个或多个存储器进行写访问和/或读访问。

在本发明的一个优选实施方式中，汽车外部装置可以为一个或多个控制设备的存储器配备新的过程控制或软件和/或配备释放码(Freischaltcode)。新的过程控制尤其可以是相对于先前的过程控制得到更新后的过程控制，其克服软件问题和/或提供控制设备的附加功能。新的过程控制可以是对已经存储在控制设备中的过程控制的补充，其尤其提供控制设备的附加功能。

释放码尤其可以是特别是按时间规定地释放在控制设备中或汽车中其它位置保持执行就绪状态的过程控制或软件的数据。也就是说，已经存储在汽车中的过程控制或软件可以在汽车中提供释放码之后才被执行。

本发明实现了一种具有控制设备的机动车的总线系统，其中在总线系统中具有验证装置并且在总线系统中执行本发明的方法。此外，本发明还实现了一种用于验证机动车的总线系统中控制设备的计算机程序产品，其可以运行根据一个或多个方法权利要求的方法。

Claims

1.一种用于验证机动车的总线系统中控制设备的方法，其特征在于，

第一控制设备通过所述总线系统向验证装置发送验证查询，

所述验证装置利用第一对称密钥对验证查询进行签名，并向所述第一控制设备发送签名后的验证查询或只发送签名，

所述第一控制设备将所发送的验证查询签名与由所述第一控制设备对所述验证查询应用所述对称密钥而确定的签名进行比较，和/或

所述第一控制设备利用所述第一对称密钥对所发送的验证查询签名进行解密以获得第一散列值，并且所述第一控制设备对所述验证查询应用散列算法，由此获得第二散列值，

所述第一控制设备在签名和/或散列值的比较结果为正面或一致时被设置为运行准备就绪。

2.根据权利要求1所述的方法，其特征在于，所述总线系统的一个或多个其它控制设备执行按照权利要求1的验证方法。

3.根据权利要求1或2所述的方法，其特征在于，机动车只在总线系统的基本上所有控制设备都已执行了按照权利要求1的验证方法并得到正面比较结果时才能运行。

4.根据权利要求1或2所述的方法，其特征在于，分别在开动汽车之前执行验证方法。

5.根据权利要求4所述的方法，其特征在于，在打开汽车之后执行验证方法。

6.根据权利要求1或2所述的方法，其特征在于，基本上所有控制设备在执行按照权利要求1的验证方法时采用同一对称密钥。

7.根据权利要求1或2所述的方法，其特征在于，所述对称密钥对不同汽车来说是变化的，第一汽车的控制设备在执行按照权利要求1的方法时采用第一对称密钥，而第二汽车的相同控制设备在执行按照权利要求1的方法时采用第二对称密钥。

8.根据权利要求1或2所述的方法，其特征在于，以相反的方向执行按照权利要求1的方法，即验证装置向第一控制设备发送验证查询，所述第一控制设备用第一对称密钥对验证查询签名，并向所述验证装置发送签名后的验证查询。

9.根据权利要求1或2所述的方法，其特征在于，所述验证装置通过与汽车外部装置执行非对称加密方法进行另一验证检查。

10.根据权利要求9所述的方法，其特征在于，所述非对称加密方法是公共密钥方法。

11.根据权利要求9所述的方法，其特征在于，所述验证装置向所述汽车外部装置发送验证查询，所述汽车外部装置用非对称密钥对的保密密钥对所述验证查询签名，并将签名后的验证查询或只将签名发送给所述验证装置，所述验证装置利用与所述汽车外部装置相同的算法确定所述验证查询的签名，利用与所述保密密钥互补的公开密钥对由所述汽车外部装置所发送的签名进行解密，并将所确定的签名与所发送的签名进行比较。

12.根据权利要求11所述的方法，其特征在于，在比较结果为正面时，所述汽车外部装置通过所述验证装置获得对所述第一控制设备的存储器的写访问和/或读访问。

13.一种具有控制设备的机动车总线系统，其特征在于，在所述总线系统中具有验证装置，并且在所述总线系统中执行按照前述权利要求中任一项所述的方法。