CN102656590A - 数据处理设备 - Google Patents
数据处理设备 Download PDFInfo
- Publication number
- CN102656590A CN102656590A CN2010800570005A CN201080057000A CN102656590A CN 102656590 A CN102656590 A CN 102656590A CN 2010800570005 A CN2010800570005 A CN 2010800570005A CN 201080057000 A CN201080057000 A CN 201080057000A CN 102656590 A CN102656590 A CN 102656590A
- Authority
- CN
- China
- Prior art keywords
- controller
- data
- safety governor
- master controller
- checking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 title claims abstract description 14
- 230000006854 communication Effects 0.000 claims abstract description 15
- 238000004891 communication Methods 0.000 claims abstract description 15
- 238000004364 calculation method Methods 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 98
- 238000003860 storage Methods 0.000 claims description 11
- 238000009795 derivation Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 85
- 238000010586 diagram Methods 0.000 description 19
- 230000004224 protection Effects 0.000 description 17
- 230000004048 modification Effects 0.000 description 11
- 238000012986 modification Methods 0.000 description 11
- 230000008859 change Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 238000007689 inspection Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000012552 review Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000005054 agglomeration Methods 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000012938 design process Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009885 systemic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01C—MEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
- G01C21/00—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
- G01C21/26—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 specially adapted for navigation in a road network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B15/00—Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
- G07B15/02—Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points taking into account a variable factor such as distance or time, e.g. for passenger transport, parking systems or car rental systems
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B15/00—Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
- G07B15/06—Arrangements for road pricing or congestion charging of vehicles or vehicle users, e.g. automatic toll systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Finance (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
一种数据处理设备(30),包括:本地数据源(4);第一控制器(31);和防篡改第二控制器(32),防篡改第二控制器被配置为与第一控制器进行通信,第一控制器被配置为控制并且从本地数据源和经由通信接口连接至第一控制器的感测单元接收数据,以及对所述数据进行一系列计算操作,其中第二控制器被配置为验证由第一控制器进行的操作的选定子集的完整性。
Description
技术领域
本公开内容涉及用在车载远程信息通信系统(vehicle telematicssystem)或智能计量系统(smart metering system)中的数据处理设备,并涉及例如用于在公路定价中操作这种设备的方法。
背景技术
图1以示意性形式说明与遥测技术相关的一般概念,其中用户实体1可以访问远程装置2,装置2包括主控制器3和本地数据库4。在这种一般情况中,用户或外部实体1能够经由双向通信链路5使用装置2,以将某些输入数据转换成输出数据。与遥测技术一样,这种系统可以应用在其它情况中,如智能计量,包括能量使用的远程监控。
这种情况中所关心的一个问题是外部用户实体1如何可以确信装置1确实针对给定的输入产生了正确的输出。换句话说,问题是如何保护在该装置中运行的进程(process)的完整性(integrity),特别是防止篡改攻击。
考虑到上述问题,存在可能遭受攻击者20篡改的三种不同的资源,如图2所述。这些攻击为:
1.企图修改I/O数据本身的攻击(箭头21),无论是提交(summit)给装置2之前的输入数据还是由装置2产生之后的输出数据6;
2.企图修改在主控制器3上运行的进程的攻击(箭头22);以及
3.企图修改在数据库4中本地存储的主数据(箭头23)。
可以利用旨在保护上文列出的资源的完整性的多种解决方法,其示例包括以下几种:
(1)对于I/O数据6,典型的解决的方案是使用签名算法,其中数据在输入处由用户实体1签名,并且在装置2的输出处由主进程3回签名(signback),因此通过允许检测任何修改而保护数据6的完整性,已知为篡改证据。
(2)使用可信任平台模块(TPM),安全加密处理器可以用来主要通过两种机制保护主进程:远程证明和封闭存储。远程证明形成主进程状态的加密签名以向远程实体证明主控制器处于给定状态。封闭存储以它仅可以由处于正确状态时的主进程解密的方式加密数据。TPM主要用在个人计算机中,例如用于向远程支付服务器证明在将进行支付的计算机中不存在任何特洛伊木马、病毒、密钥记录器等。TPM还可以用于数字版权保护(DRM)应用。
(3)′智能卡′的使用是另一种已知的解决方案。安全智能卡包括嵌入塑料卡中的高度安全芯片。嵌入的芯片被设计为不易受任何篡改攻击,使得非常难以改变或探究芯片中存储的进程和数据。智能卡用于安全支付应用,其中金钱电子数值存储在卡中(′电子钱包′),或者用于安全访问控制应用,其中允许访问设备或网络的安全密钥存储在卡中(如,SIM卡),或者用于身份识别应用,其中签名密钥存储在卡中(如,电子护照)。
TPM的缺点是这基本上是静态保护,仅证明控制器在某个时间处于某种核实状态,并且准备处理安全敏感数据。TPM不提供针对已经达到核实状态之后的攻击或硬件篡改攻击的防护。TPM方案还需要来自操作系统和主控制器的深度支持。
另一方面,智能卡提供动态保护,即,不仅保护进程的状态,而且保护这种状态如何随着时间的过去而发展,但由于需要特定的设计和制造工艺而是不便利的。智能卡通常还具有非常有限的处理能力,并且因此不适合所有应用。
本发明的目标是解决上述问题中的一个或多个。
WO 2009/090515公开了一种道路收费系统,包括具有执行位置跟踪功能的卫星导航接收器的车载单元。车辆行进的路线基于位置跟踪信息和用于独立于卫星导航信号检测本地车辆状态的传感器。采用传感器信息证实位置跟踪信息有效。
发明内容
根据本发明的第一方面,提供了一种数据处理设备,如由随附权利要求所限定的那样。
该设备可以形成车载远程信息通信系统的一部分,其中感测单元为位置感测单元,并且本地数据源包括地图数据源且可选地包括费用数据源,其中第一控制器被配置为:控制和从位置感测单元和地图源(和可选地费用数据源)接收数据;基于从位置感测单元接收到的数据计算车辆的位置;以及可选地基于计算出的位置以及从费用数据源和地图数据源接收到的数据计算费用。
感测单元可以为例如经由通信接口连接至第一控制器的外部装置。
通过仅验证由控制器进行的操作的选定子集的完整性,该系统能够有效地和快速地运行,而不牺牲安全性。
第二控制器可选地被提供为可移除卡,该可移除卡包括用于识别该系统的用户的数据。
第二控制器被配置为随机地或伪随机地选择操作子集。在优选实施例中,第二控制器从由第一控制器进行的一系列位置和费用计算中随机地选出一个用于验证,但对已经选定哪一个操作进行保密。
第二控制器可选地被配置为在位置计算操作和费用计算操作之一或二者期间验证由第一控制器进行的操作的选定子集的完整性。
第一控制器被配置为记录从一个或多个操作的开始和结束状态导出的历史数据并将历史数据传送至第二控制器。第二控制器被配置为采用所述历史数据验证所述一个或多个操作。
第二控制器可以被配置为存储仅用于将被验证的一个选定操作的历史数据。
第一控制器可以被配置为在进行每个操作时传送历史数据,并且第二控制器可以被配置为根据将被验证的那个操作的选择决定是存储还是舍弃所传送的历史数据。
历史数据可以是从所述一个或多个操作的开始和结束状态的哈希(hash)导出的。
第二控制器可以被配置为在第一控制器已经发送由第一控制器进行的操作的哈希结果之后指示第一控制器传送哪些历史数据。
该数据处理设备可以包含在计量系统中,其中感测单元为能量计,并且第一控制器被配置为基于从感测单元和本地数据源接收的数据产生能量定价。
根据本发明的第二方面,提供了操作数据处理系统的方法,并且根据本发明的第三方面,提供了操作车载远程信息通信系统的方法,同样由随附权利要求限定。
第二控制器可选地将签名的总数提供至第一控制器作为正确验证的指示。
第二控制器随机地或伪随机地选择操作子集。
通过随机地或伪随机地选择将被验证的特定操作子集,维持了安全性,因为不能确定由(非安全)第一控制器执行的哪个操作将是由(安全)第二控制器检查的操作。将不能提前确定哪个操作将进行验证。由于在典型的行程中将由第一控制器进行数百或数千操作,第二控制器仅需要随机地选择小的比例,以确保所述实际意图的完整性,或者至少能够可靠地检测任何篡改。
本发明提供了TPM和智能卡二者解决方案的优势,但是以更加成本有效或灵活的方式提供这种优势。本发明通过不仅保护进程的状态而且保护该状态如何随时间更新而允许动态地保护在装置中运行的进程,并且可以应用于通用主控制器,而不需要对控制器进行硬件修改。本发明还仅需要添加如在智能卡中发现的便宜的安全控制器,并且因此具有针对每种特定应用不必需要特定智能卡的优点。
附图说明
现在将以举例的方式并参照附图描述本发明的实施例,在附图中:
图1为说明遥测系统(telemetry system)的示意图;
图2为说明对图1的系统的可能的攻击的示意图;
图3a和3b为在主控制器和安全控制器中执行的示例性操作序列的示意图;
图4为包括连接至主控制器的安全控制器的遥测系统的示意图;
图5为说明将受到保护的主控制器板载软件的一部分的示意图;
图6为具有审查过程步骤的遥测系统的示意图;
图7为根据顺序模式运行的装置的示意图;
图8为处于主控制器的RUN状态的操作序列的示意图;
图9为处于安全控制器的VERIFY状态的操作序列的示意图;
图10为根据并行模式运行的装置的示意图;
图11为处于并行模式中的RUN状态和STORE状态的操作序列的示意图;
图12为根据包含哈希操作的顺序模式运行的装置中的操作序列的示意图;
图13a为说明简单的哈希方案的示意图;
图13b为说明替代哈希方案的示意图;
图14为安全控制器和主控制器中的包含哈希操作的操作序列的示意图;
图15为根据包含哈希操作的并行模式运行的装置中的操作序列的示意图;
图16为用于根据包含哈希操作的并行模式运行的装置的RUN状态和STORE状态的操作序列的示意图;
图17为包含采用数据鉴别的数据完整性保护的遥测系统的示意图;
图18为说明公路收费方案系统的示意图;以及
图19为说明安全公路收费应用中涉及的操作序列的概略的示意图。
具体实施方式
本发明的多个方面依赖于两个主要原理,概述如下:
(1)对篡改的防护极大地依赖于篡改证据或检测,而不是依赖于整个进程的防篡改性。在一般方面中,这通过在装置中主控制器之后添加安全防篡改控制器,并由这个附加的安全控制器检验在主控制器中运行的进程还未被篡改的规则基础而实现。
(2)为了降低附加安全控制器上的负担,该安全控制器不进行所有操作的完整验证,而是例如可以随机选择目标进程中正在进行的部分进行验证。
如图3a和3b所示,包括根据本发明运行的第一(主机)控制器31和第二(安全)控制器32的装置30可以被视为在三个不同阶段中运行:
(1)RUN阶段33,其中执行审查进程;
(2)COMMIT阶段34,其中主控制器提交审查进程和中间步骤的结果;和
(3)VERIFY阶段35,基于质询-响应协议,其中由安全控制器验证审查进程的选定部分,优选地作为安全控制器的随机选择结果。
根据上述原理运行的系统在图4中说明,类似于图1的系统但添加了安全的、防篡改的控制器32。安全控制器32可以为在智能卡中发现的类型的控制器。
如图5所示,主控制器31包含将被保护将由安全控制器32验证的软件51。在大多数情况中,不需要对整个主机软件进行验证,而是仅对特定的敏感部分进行验证。例如,低级别驱动器通常被忽略,而软件的处理金融业务的部分必须被认真地防护免受任何可能的篡改的影响。在大多数情况中,这将导致彼此独立的几个部分的识别,并且因此被独立地保护。随后足以将每个部分视为独立的进程,并单独地对每个进程进行验证过程。
进行验证的进程在此称为审查进程。为了应用本发明,每个审查进程61可以分成几个审查步骤61I_N,如图6所示。随机选择这些步骤中的一个或多个,用于由安全控制器验证。
选定审查进程在中间步骤中分开的方式和这些步骤的数量取决于将被审查的进程的类型。一种方式是以使得每个步骤仅松散地依赖于在前的步骤和接下来的步骤以及使得输入状态和输出状态的尺寸(szie)最小的方式裁剪进程。每个步骤理想地应当具有相同或相似的复杂性,使得安全控制器上的验证或多或少地花费相同的时间,从而在执行并行操作时提高效率。最后,将进程分成多个并且因此较小的步骤通常将降低验证单个步骤所需要的时间,并且还将降低在主控制器上执行进程期间检测到已经出现篡改的可能性。因此将进程分成中间步骤是性能和检测速率之间的折中。
在接下来的部分中,以举例的方式说明不同的执行模式。
在图7中说明的顺序模式示例中,三个阶段71,72,73顺序地运行:中间COMMIT阶段72在RUN阶段71完成之后开始,VERIFY阶段73在COMMIT阶段72完成时开始。
在图8中进一步详细说明的RUN阶段71中,主控制器31简单地、正常地执行审查进程,但维持存储的进程执行历史日志82,审查进程的所有中间步骤711...71N的输入状态和输出状态810-N存储在进程执行历史日志82中。历史日志82允许在不必从开始重现整个进程的情况下重现每个步骤711...71N。
在COMMIT阶段72期间,主控制器31开始(步骤74)对安全控制器32的审查进程。安全控制器32随后选择(步骤75)验证审查进程的哪个步骤,在此称为步骤ID。处于安全原因,重要的是步骤ID由安全控制器32保密且优选地被随机(或至少以非确定的方式)选择,以便不容易提前确定安全控制器32正在选择哪个步骤。
主控制器31随后提交审查进程的完整执行历史。这可以通过将历史日志82的全部内容(图8)发送(步骤76)至本地存储(步骤77)历史日志的安全控制器32而实现。这在历史日志82小的情况中可以是简单且有效的方案。对于较大的历史日志,可能优选的是采用下文进一步详细描述的并行模式,可能是的采用一个或多个哈希操作。
VERIFY阶段73旨在验证如由主控制器31执行的审查进程的完整性。
一旦主控制器31开始审查进程(步骤78),则安全控制器32验证(步骤79)已经正确地执行COMMIT阶段72期间选择的审查步骤。
安全控制器32可以在内部重现选定步骤,并通过对照历史日志82的相关部分检查结果而验证获得与由主控制器31发送的输出相同的输出。这在图9中示出,图9示出了简化的示例,其中安全控制器在将被审查的两个可能的步骤中的一个之间进行选择。假设之前产生的步骤ID,验证操作79继续进行以采用来自历史日志82的相关输入状态审查选定的步骤,并针对相关的情况确定该结果是否与来自历史日志的对应的输出状态对应。
在失败情况中,安全控制器32通知内部欺诈管理器(步骤91)。欺诈管理器的主要作用是维持所有验证失败的列表。系统优选被配置为使得总是将到达欺诈管理器的任何通知无论是立即地还是以规则或随机间隔以安全的方式转送至外部实体1(图4),使得外部实体随后可以采取适当的行动。例如,安全控制器32可以包含被编码为标志寄存器的安全状态。该标志寄存器的一位或多位可以用来对验证进程的状态进行编码。如果该寄存器总是被包括在由安全控制器产生的所有签名中,则总是向外部实体或服务器通知安全控制器的状态。
在成功的情况中,安全控制器32将成功审查通知发送至主控制器31。成功审查通知可以通过签名的确认99发送至主控制器31。这种确认可以由主控制器用来向外部实体1证明已经成功地审查进程,并且外部实体随后可以信任该结果。存在多种方法用于计算这种确认。作为示例,安全控制器32可以对最后一个安全步骤(如在VERIFY步骤79期间接收到的)的输出状态进行哈希操作,随后采用诸如AES(高级加密标准)之类的对称加密签名方案对该结果进行签名。
成功的审查还可以导致准许对安全控制器上的要求较高的特权的某些服务或资源的临时访问,如对安全存储中的受限制的信息的访问,对支付应用或鉴别凭证的产生的访问。主控制器31随后可能需要被规则地审查,以维持受限制的服务/资源的可用性。
在一些情况中,可能更容易验证给定的输入状态和输出状态非常好地满足已限定的前提和后置条件,而不是向上述示例中那样执行步骤本身。例如,如果进程计算数的平方根,则实际上更容易验证平方根结果确实等于输入,而不是进行平方根开方。
图10和11一起说明其中主控制器31和安全控制器32中的某些操作被并行执行的实施例。这通过同时运行RUN和COMMIT阶段101而改善了整体速度性能。在初始化审查进程(步骤74)之后,使安全控制器32选定步骤ID(步骤75),主控制器31将COMMIT数据发送至安全控制器同时仍然执行审查进程(步骤102),安全控制器32存储历史日志的所接收到的相关部分(步骤103),舍弃涉及非选定步骤ID的部分。其结果是,如果主控制器31装配有允许没有干预地将数据从主CPU发送至外部装置的DMA(直接存储器访问)子控制器或类似装置,则可以几乎没有系统开销地执行该部分验证进程。这样,可以几乎与未被审查的方案一样快地运行审查进程。同样,通过并行运行,RUN阶段之后的系统开销延迟下降得相当多,因为任何延迟现在仅是由可以与已经描述的VERIFY阶段相同的后续VERIFY阶段73的执行引起。
在图10中说明了上述并行模式实施例的变型。这类似于图7的顺序模式实施例,具有两个主要的差异。首先,主控制器31在执行审查进程紧之前在安全控制器32上初始化审查机制(步骤74),使安全控制器32随机地且秘密地选定步骤ID(步骤75)。其次,在审查进程的执行期间获得初始、中间和最终状态(步骤121)未被主控制器31记录,而是立即被发送至安全控制器32。如果主控制器31具有DMA控制器或类似装置,则可以与审查进程的执行并行地执行这种通信,因此对该进程的执行速度几乎没有影响。
如果该状态是安全控制器选择验证的步骤的输入状态或输出状态,则安全控制器32保持该数据。如果不是,则简单地舍弃该数据。然而,这必须以主控制器不能告知该数据是否已经被保持或舍弃的方式进行,以便主控制器31看不到步骤ID值。为了维持进程执行链的内聚性(cohesion),重要的是不将中间状态分成2个部分:将包含之前的步骤的输出的部分,将包含下一个步骤的输入的另一个部分。否则攻击者将在没有检测的情况下能够容易地改变任何步骤的输入。
在该实施例中,象在上述图7的顺序模式实施例中一样执行验证进程。在该情况中唯一的差别是安全控制器不必选择哪个状态数据用于验证进程,因为这已经在COMMIT阶段期间完成。
当审查进程中的中间状态的尺寸非常大时,出于性能原因,变得有利的是限制在主控制器和安全控制器之间传送的数据的量。一种解决方案包括修改COMMIT阶段以不发送完整的历史日志,而且仅发送安全控制器需要的2个状态。采用对整个历史日志的加密哈希实现提交部分。这种哈希允许主控制器提交整个历史日志,而不是实际上完整地发送它。
这种解决方法可以应用顺序和并行模式实施例二者。在顺序模式实施例(图12)中,与图7的标准顺序模式实施例相比,仅改变COMMIT阶段。RUN和VERIFY阶段相同。
在COMMIT阶段中,添加额外的交换,以便安全控制器32可以告知主控制器31正在验证哪个步骤。但是在传送选定步骤ID之前,主控制器31首先必须通过对内容进行哈希操作并将哈希结果发送至安全控制器32(步骤122,123)而提交完整的执行历史。这样,如果出现安全控制器想要验证审查进程中在RUN阶段已经被入侵的(hacked)部分的情况,则被入侵的主控制器31件不可能改变历史日志内容。同样,计算该哈希,使得在未由安全控制器32检测到对应于不同步骤ID的输入状态和输出状态数据时,主控制器31不能传送对应于不同步骤ID的输入状态和输出状态数据。
可以使用在现有技术中描述的几种哈希方案。在下文描述并在图13a中说明了一种简单且仍然有效的哈希方案。这种简单的哈希方案包括单独地对每种状态(状态0...状态N)进行哈希操作,并将每种状态的哈希结果(H0...HN)发送至安全控制器。
在这种方案中,如果审查进程由N个步骤组成,则N+1个哈希被发送至安全控制器。出于安全原因,彼此采诸如SHA-1、SHA-256等之类的强加密算法进算所述哈希。如果Hlen是哈希结果中的字节的大小,则采用这种简单的方案将(N+1)Hlen个字节发送至安全控制器32。例如,对于由10个中间步骤组成的审查进程,采用SHA-1哈希算法导致220个字节的系统开销。
安全控制器存储对应于正在验证的步骤的输入状态和输出状态的哈希(图12:步骤124),舍弃其它的哈希,并以选定步骤的步骤ID作为回应。总之,这必须以主控制器不能猜到选定步骤ID的值的方式进行。
在接收到步骤ID(125)时,主控制器发送对应于选定步骤的输入状态和输出状态的数据(步骤126,127),选定步骤的输入状态和输出状态随后由安全控制器存储。
最后,安全控制器验证接收到的数据的完整性(步骤128)。安全控制器对接收到的状态的数据进行哈希操作,将每个结果与之前由主控制器发送的对应的哈希结果进行比较(在步骤123中)。如果哈希验证失败,则通知内部欺诈管理器(如在上述图9中说明的实施例的VERIFY阶段中描述的那样)。如果验证成功,则存储相关历史(步骤129),并且可以完全舍弃状态哈希。随后如之前一样,继续执行VERIFY阶段。
在上述哈希方案的替代哈希方案中,发送至安全控制器的哈希结果的数量可以减少至仅为3,与审查进程中的步骤的数量无关。在图13b和图14中说明了这种原理,图13b示出了产生全局哈希结果H的附加哈希步骤,图14示出了主控制器和安全控制器之间的通信操作的示例性顺序。在COMMIT阶段141中,主控制器在所有状态哈希(H0...HN)的联接形成的字节字符串上计算附加哈希H。在COMMIT阶段141开始时,主控制器将总哈希的值发送至安全控制器(步骤142),安全控制器以将被验证的步骤ID对此进行回应(步骤143)。主控制器通过发送对应于将被验证的步骤的输入状态和输出状态的中间哈希HID-1和HID而完成COMMIT阶段(步骤144)。
在VERIFY阶段145a,145b中,为了保护COMMIT阶段期间发送的中间哈希HID-1和HID的完整性,安全控制器首先必须验证已经由主控制器正确地计算总哈希。然而,代替系统性地这么做(这将要求主控制器发送所有的中间哈希结果H0...HN),安全控制器将全局哈希H的计算视为审查进程的可以随机地验证的附加虚拟步骤。因此在验证阶段开始时,安全控制器随机地选择是否正常地进行选定步骤的验证(验证序列145b),或者是否验证全局哈希计算步骤的完整性(验证序列145a),并相应地通知主控制器。在第一种情况145b中,主控制器发送对应于选定步骤的输入状态和输出状态的数据(步骤146b),并且VERIFY阶段照常进行,主控制器返回相关状态(步骤147b)。在第二种情况145a中,安全控制器请求所有的哈希结果(步骤146a)且主控制器返回所有的中间哈希结果H0…HN(除了之前发送的HID-1和HID),并且安全控制器验证主控制器发送的全局哈希是否正确。以与上文描述的方式类似的方式处理成功或失败。
采用上述方案,不需要将所有状态哈希发送至状态控制器,从而在不明显地损害安全性的情况下明显地降低整体通信开销。
在采用哈希操作的并行模式实施例中,主要差别是与审查进程的执行同时地进行哈希提交部分。之后仍然进行状态数据的实际传送。这在图15和16中说明。所涉及的操作类似于图12和13中说明的顺序哈希实施例的操作,在执行每个步骤的同时执行该步骤的哈希操作并将其传送至安全控制器。这种并行模式实施例的主要优点是不需要更复杂的哈希方案,因为哈希传送是与进程执行并行地进行的。然而,它要求安全控制器是能够由主控制器永久访问的。
上述机制保护装置内运行的进程免受篡改攻击。这些进程既没有必要保护从外部实体1接收的或发送至外部实体1(图4)的数据的完整,也没有必要保护主数据的完整性。因此在一些实施例中数据鉴别可能是必要的,以确保正确的进程已经应用于正确的数据。这么做的一种方式是通过在装置30和外部实体1之间增加安全信道,并将本发明的应用扩展至管理这种安全信道的子进程。此外,主机中存储的任何数据库可以采用允许验证数据库中的数据是否已经被篡改的鉴别数据扩充(augment)。这在图17中说明。从装置30到外部实体1的传送信道171由对将发送至装置30的任何数据进行签名的外部实体保护,从装置30到外部实体1的传送信道172由对发送至外部实体1的任何数据进行签名的装置30保护。
当使用数据鉴别时,发送至装置30中的安全控制器的所有输入数据或主数据由数据鉴别信息扩充,以允许安全控制器验证未由进程导出以进行验证的数据的完整性。
同样,当VERIFY阶段成功地完成时,安全控制器对由主进程产生的数据进行签名,以便通知外部实体1主进程已经成功地由安全控制器审查。
该实施例具有关于如何处理由外部实体1发送至装置30的输入数据的两种主要变型。在第一种变型中,总是由安全控制器验证输入数据的完整性。安全控制器因此通知主控制器输入数据是否已经被篡改。为了避免两次传送数据的需求,可以在进行这种完整性检查之前初始化审查进程,因为安全控制器可能已经存储了将由审查步骤使用的输入数据。
在第二种变型中,验证数据步骤可以通过安全控制器进行随机验证。照常执行COMMIT阶段,并且无论何时VERIFY阶段需要从外部实体发送输入数据的全部或一部分,都一起发送输入鉴别数据。
下述简单的计算示例希望说明如何应用本发明以保护包括诸如多个项的相加之类的简单计算链的进程。这可以看作是从GNSS信号导出位置所必需的计算步骤或从一系列记录位置导出费用的步骤的简化形式。考虑下述4个项的相加:
R=A+B+C+D
根据本发明,外部实体1向装置30提供4个变量A、B、C和D的值,并预期该装置返回为这个4值的和的正确值R。为了保护这4个输入值和结果的完整性,外部实体和该装置内的安全控制器共用公共签名方案S。
求和计算由主控制器在3个后续步骤中进行:首先计算和RAB=A+B,随后计算和RABC=RAB+C,最后计算结果R=RABC+D。
在接下来的示例中,应用并行模式,即其中主控制器在每个阶段将状态传送至安全控制器。
外部实体首先对输入数据进行签名以保护它们的完整性,并将输入数据和签名发送至主控制器,如下表中所示。
主控制器随后初始化审查进程,这引起安全控制器在计算求和所需的3个子步骤中选择一个步骤。
在开始进程RUN阶段之前,主控制器询问安全控制器以验证输入数据的完整性。安全控制器还保持随后用来验证已经由主控制器正确地执行选定的子步骤所需的输入数据。
如果数据完整性验证成功,则RUN阶段和COMMIT阶段开始。每个子步骤由主控制器执行,并且每个中间结果被发送至安全控制器。再一次,安全控制器保持即将到来的验证阶段所需的数据。总是保持最后的结果。
在RUN阶段完成之后,主控制器开始审查阶段。安全控制器具有验证已经由主控制器正确地执行选定步骤所需的全部数据。如果验证成功,则安全控制器对最终结果进行签名并将它发送至主控制器。该签名和最终结果一起被发送至外部实体,外部实体验证结果上的签名。
在该示例中,可以看到,安全控制器仅进行完整进程的多个步骤中的被随机地选择的一个步骤。企图篡改在主控制器中进行的计算进程的攻击者仅能够通过改变中间结果RAB、RABC和R而进行篡改,因为其它值由签名方案保护。检测速率依赖于被篡改的中间值的数量,并且攻击者的最佳策略将是仅改变最终结果R的值,并且希望安全控制器已经挑选ID≠3。因此,我们看到安全控制器上的计算成本已经变为三分之一,并且不管攻击者做什么,对于该进程的每次执行,至少1/3的可能性将检测到在主控制器侧的任何篡改。同时改变值R和RABC以使步骤3对安全控制器来说看起来是有效的做法不是较好的策略,因为安全控制器将在它选择ID=2时检测到篡改。这显示了在完成COMMIT阶段之前隐藏步骤ID的选择的重要性,因为这防止了攻击者能够相应地调整他的篡改。
最后,重要的是观察到输入和中间值仅一次发送至安全控制器。如在下表中说明的那样两次发送它们将是错误的,并且实际上将破坏安全性保证。
上述(可能不正确的)实施方案的想法是为每个步骤发送完整的输入和输出状态。这最初看起来是无害的,但如果与上述第一实施方案相比,安全控制器不进行附加的验证,则这是对保护的明显破坏。
事实上,考虑到安全控制器仅在由主控制器为给定步骤提交多个值时使用所述多个值,并忽略为其它步骤或为输入数据完整性的验证提交的副本。在该情况中,攻击者自由地将值R改变至他希望的值,并调整在第三步骤中提交的RABC,使得求和R=RABC+D是正确的。安全控制器随后无论如何不能检测到篡改,并且因此将总是对欺诈值R进行签名。替代地,攻击者可以简单地将不同的值用于A,B,C,D同时仍然正确地计算求和。如果安全控制器不验证在每个步骤为A,B,C和D提交的值仍然与为签名SABCD的验证提交的值相同,则将不能检测到这种攻击,并且将总是由安全控制器对不正确的结果进行签名。
为了解决复制值的这个问题,人们必须观察链式计算的保护依赖于提交给安全控制器的值之间的相关性链的保留,并且没有进一步保护地提交复制值破坏相关性链。实际上,人们可以考虑复制值实际上是附加的虚复制步骤的结果,该虚复制步骤也必须被随机地验证以维持本发明的安全性保证。如果不是这种情况,则攻击者总是在不进行通知的情况下自由地篡改复制步骤。这种情况中的验证是简单的,以验证复制变量总是具有相同的值。
然而,最高效的解决方案是避免一起发送复制值。
本发明可以应用于任何进程树,并且上文的提供仅仅以计算链的简单情况的形式作为概括。
接下来的示例说明本发明如何可以应用于复杂的应用,如公路收费。
公路收费的目的是计算车辆使用公路的通行费用。收费方案限定了必须如何计算费用,这通常取决于道路类型、在这些道路上行驶的距离以及行驶发生的时间。描述收费方案的信息被包含在数据库中,在此称为收费方案数据库。该数据库至少包含由收费方案覆盖的道路的详细地图,以及用于每条道路的费用公式。
存在公路收费实施方案的不同变型。在此考虑的变型(称为″超胖客户车载单元″)中,该收费方案中登记的车辆装配有车载单元(OBU),该车载单元根据从GNSS接收器导出的信息记录车辆的位置,并基于收费方案数据库中存储的信息计算通行费。OBU为每次车辆通行总计通行费,并以规则的间隔将总计的费用发送至公路收费方案服务器。公路收费方案服务器负责从参与该方案的所有车辆收集费用并执行开账操作。
图18为说明公路收费方案的配置的示意图,包括收费方案服务器181(对应于图1的外部实体1)和车载单元182(对应于图1的装置2),车辆OBU182从GNSS卫星183接收位置数据。OBU从GNSS卫星(其实际上将为卫星的集合,通常至少3颗不同的卫星,且常见是至少4颗卫星)接收和收集GNSS数据(步骤184)。将数据与地图数据库186进行匹配(步骤185),通过参考公路费用数据库188计算费用(步骤187),并基于行驶的路段顺序总计费用(步骤189)。总计费用信息传送至收费方案服务器181,收费方案服务器181收集费用信息(步骤190)并计算用于车辆的账单(步骤191)。
通过添加例如包括如上所述根据本发明运行的安全控制器的可移除卡的形式的轻型安全元件,可以使由车辆OBU 182执行的处理更加安全。下文参照图19进一步详细地描述这种系统的操作的实施例。
公路收费应用中的第一种安全性问题涉及在确定位置数据过程中保护和保证由OBU使用的GNSS数据的完整性。可能的攻击将是采用外部GNSS仿真器将欺骗GNSS数据注入到OBU中。如果通过这么做,攻击者可以欺骗OBU以使用对应于具有比车辆实际使用的道路低的费用的道路的GNSS数据,则这为攻击者带来明显的经济利益。这种情况的一种对策将是在GNSS卫星和OBU之间建立已鉴别的信道。该信道将提供将防止任何这种篡改攻击的源鉴别和数据完整性保护。这种信道的使用是已知的,但这些信道倾向于为军用应用而保留(在美国GPS系统的情况中),或者要求操作者支付订阅费(在欧洲Galileo的情况中)。
可以用在公路收费系统中的替代对策依赖于道路侧单元(RSU),道路侧单元检测汽车的通行并建立与OBU的短距离通信信道,以验证由车辆使用的GNSS数据是正确的。由于仅可以与在RSU附近的车辆建立这种通信链路,通过将由OBU报告的汽车的位置与RSU中记录的位置进行比较,简单地进行这种验证。如果验证失败,则RSU获取违法车辆的图像,并采用速度强制雷达执行强制。在JP 2009/038586中公开了这种类型的系统的示例。
应用本发明要求在安全控制器的控制下代替输入数据完整性的验证。虽然本发明可以在其中通过已鉴别的信道保护GNSS数据完整性的情况中工作,但由于建立与定位卫星的通信链路困难,RSU验证的使用是更实际的实施例。接下来的示例假设使用RSU验证,每个收集的GNSS坐标(fix)由安全控制器签名。随后无论何时OBU必须对RSU进行的强制请求作出响应,最近的GNSS坐标和签名可以传送至RSU。
地图匹配通常是计算密集步骤,其不适合在如在此考虑的轻型安全元件上整体实施。然而,作为代替,避免对此的需求的解决方案是仅验证已经在OBU主机处理器中正确地执行地图匹配进程。安全控制器例如可以被配置为验证收集的GNSS坐标和选定道路之间的距离低于某个预定阈值。这要求用可以采用安全控制器用来证明地图信息的完整性的鉴别数据(如数字签名)扩充收费方案数据库中的地图数据。
一旦已经识别道路,则必须评估用于计算费用的收费方案公式。用于评估该公式的数据包含在费用数据库中,例如存储在主控制器存储器中。由于评估该公司通常是轻量级进程,可以在安全控制器中简单地重现这种评估,以验证所述评估已经被正确地进行。这要求费用数据库还包含允许安全控制器验证的费用数据的完整性的鉴别数据。
可以通过将该进程一起移动至安全控制器而进行保护费用聚集步骤。将每个计算出的路段费用报告至安全控制器,安全计数器以安全模式累积所述值,将其最终结果作为签名的总数发送至收费方案服务器。
图19说明如何可以根据本发明的实施例确保公路收费应用的安全的示例,其中由主控制器31和安全控制器32执行操作。该示例假设任何行程可以分成N段1902,其中每一段19021-N涵盖n个GNSS坐标。用于段1(19021),段S(1902s)和段N(1902N)的操作在图19中示出,以说明该过程。当行程开始时,主控制器初始化审查进程1903并开始新的审查周期1904。对于每个新的周期,安全控制器随机地选择1905验证哪一段(段S,1906),并重设费用计数器至0(1907)。在段119021和段S 1902s(假设段1不是安全控制器32选择的段)下执行的操作说明在一个这种周期期间每一段的活动性。每一段19021-N由作为N段顺序执行的RUN阶段和COMMIT阶段构成。对于每一段,主控制器31收集GNSS数据(1908),进行地图匹配(1909)和计算通行费(1910)。主控制器31将每个处理步骤的结果提交至安全控制器32。对于GNSS数据收集步骤,这通过将每个GNSS坐标GNSS1,1-1,n,GNSSS,1-S,n,GNSSN,1-N,n发送至安全控制器32而被简单地进行。反过来,安全控制器32对被发送的最近的GNSS坐标进行签名(步骤1911),并将签名返回至主控制器。该签名可以由主控制器31用来回答来自RSU设备的强制请求。
对于地图匹配,主控制器31计算匹配道路的哈希,并在每一段结束时将该哈希MM1,MMS,MMN发送至安全控制器31。对于费用计算,通过计算出的费用Fee1,FeeS,FeeN发送至安全控制器而简单地进行所述提交。该费用简单地添加至安全控制器中存储的当前总数,针对每一段总计该总数。安全控制器32只有在当前段为选定段S时才保持提交数据(1912);如果当前段不是段S,则简单地舍弃提交数据(1913)。主控制器31还记录所有提交地图匹配数据的日志,直到审查周期完成。
在RUN阶段和COMMIT阶段结束时,VERIFY阶段开始,其中主控制器31在安全控制器32上开始审查进程。安全控制器32告诉主控制器31将验证哪一段(步骤1914),并且主控制器31以在该周期期间记录的所有地图匹配数据,连同在鉴别数据库1916,1917中存储的必要地图和公路费用数据一起,作为回答。安全控制器32通过验证提交哈希而验证地图匹配的完整性(步骤1918),以及验证来自鉴别数据库的数据的完整性。如果完整性检查成功,则验证继续进行地图匹配步骤的验证,如已经详述的那样,并进行已经为该段正确地计算费用的验证。
如果验证成功,则由安全控制器对费用总数进行签名,该签名被回送至主控制器(步骤1919,1920,1921)。该签名可以被发送至公路收费服务器,以指示已经为该周期成功地验证通行费。然而,如果验证失败,则通知安全控制器中的欺诈管理器(步骤1922)。一旦每个周期已经完成,则新的周期开始并且重复上述过程。
上述实施例仅是本发明如何应用于公路收费应用的一个特定变型。该实施例的一个可能的问题是,如果VERIFY阶段持续太长时间,则存在车辆将通过RSU并接收强制请求的可能性。如果安全控制器忙,则OBU可能不能及时确认该强制请求,这将导致由RSU进行错误的欺骗检测。对此的解决方案是针对每个周期推迟VERIFY阶段,直到行程结束,即当汽车停止时。在该情况中,当用于一个周期的RUN阶段和COMMIT阶段结束时,新的周期立即开始。以这种方式,由安全控制器进行的GNSS坐标的签名不存在中断。在该变型中,主控制器31必须保持该行程期间所有提交数据的日志,并且安全控制器32必须能够存储所有选定段的提交数据。
在另一种变型中,每个GNSS坐标不是单独地发送至安全控制器,而是代替地,主控制器对每一段中的所有GNSS坐标进行哈希操作,并通过在每一段结束时将哈希结果发送至安全控制器而提交这些坐标。这限制了主控制器和安全控制器之间的带宽要求,并避免了将GNSS坐标数据太多次地发送至安全控制器,这是有利的,因为由于每次提交通常将存储在EEPROM中,在不应用任何损耗调整操作的情况下,这会导致安全控制器存储器的快速损耗。响应于接收哈希结果,安全控制器将被配置为对哈希结果进行签名并将签名返回至安全控制器。
在上述变型中,由道路侧单元进行的强制将不被实时地执行,但代替地可以被推迟。强制将如下工作:
-i)道路侧单元检测汽车经过,并将事件(位置+时间)与诸如车辆号牌之类的车辆细节一起记录在中央数据库。
-ii)当车辆报告费用时,中央服务器对中央数据库进行询问,以检查是否存在未决强制检查。
-iii)如果强制检查未决,则要求车辆发送相关段的详细信息。包括由安全控制器产生的签名,涵盖发现车辆的时间。
已经证实,即使不能在安全控制器中运行完整的进程,根据本发明的系统也仍然能够采用概率检测有效地审查完整的进程。本发明的一般原理由两部分组成:(1)随机地选择审查该进程的哪一部分,以及(2)确保维持整个进程中的步骤之间的相关性(即,″攻击者″不能注入或去除步骤)。第二步骤优选通过使用历史数据实现,如上所述。
通过将数据系统地提交给安全控制器(即,不仅在于来自道路侧设备的请求时),将GPS完整性的验证强制地连接至其它进程。这是因为安全控制器可能不是足够快来实时回答外部强制请求,并且因此必须提前准备回答(即,GPS签名),或者可能错过强制请求。
审查优选不仅在完整行程上执行,而且在随机选择的路段(例如,每Nkm选择1km路段)上执行。
为了保证序列的完整性,该路段的在正被审查的坐标之前的最后GPS坐标必须用作正被审查的路段的第一个坐标。这确保攻击者不能发送不能与真实路段一起形成连续路径的独立段。
同样,可以在提交的GPS坐标上进行一些实时完整性检查,以防止某些基础攻击。这些检查可以包括:验证2个坐标(其必须是恒定,除了2个行程之间之外)之间的时间戳差;检查所述坐标绘制连续路径(即,2个坐标之间的距离必须从不大于预定值,包括2个行程之间);以及速度必须是连续的。通过这样做,在要求正确地应用本发明时,这再次保护顺序的完整性。还可以执行时间戳应当单调地增加的检查,以防止通过回退(rolling back)进行的篡改。这种检查在延迟强制的情况中也将是必要的,以确保被篡改的主控制器在过去的时间周期内不会重新提交数据。
其中安全控制器验证主控制器的操作的选定子集的完整性的本发明的一般原理也可以应用于其它应用。这种应用的示例是在′智能′计量中,其中本发明的数据处理设备是计量系统的一部分。能量计形式的感测单元将数据提供至主控制器。由安全控制器验证由主控制器执行的例如确定能量使用的总成本的操作的完整性。
其它实施例也意图在本发明的由随附权利要求限定的保护范围之内。
Claims (13)
1.一种数据处理设备(30),包括:
本地数据源(4);
第一控制器(31);和
防篡改第二控制器(32),防篡改第二控制器被配置为与第一控制器(31)进行通信以及验证由第一控制器(31)进行的一系列操作的完整性,
第一控制器(31)被配置为控制并且从本地数据源(4)和经由通信接口连接至第一控制器的感测单元接收数据,以及对所述数据进行一系列计算操作,
其特征在于,第一控制器被配置为记录从该系列计算操作的开始和结束状态导出的历史数据并将历史数据传送至第二控制器,第二控制器(32)被配置为随机地或伪随机地选择和验证所述操作中的一个,以采用所述历史数据验证该系列操作的完整性。
2.一种车载远程信息通信系统(180),包括权利要求1所述的数据处理设备,其中感测单元为位置感测单元,并且本地数据源包括地图数据源,第一控制器(31)被配置为基于从位置感测单元接收到的数据计算车辆的位置。
3.根据权利要求2所述的车载远程信息通信系统(180),其中本地数据源包括费用数据源,第一控制器被配置为基于计算出的位置和从费用数据源和地图数据源接收的数据计算费用。
4.根据权利要求2或3所述的系统,其中第二控制器被提供为可移除卡,可移除卡包括用于识别该车载远程信息通信系统的用户的数据。
5.根据前述权利要求中任一项所述的系统,其中第二控制器(32)被配置为随机地或伪随机地选择操作子集。
6.根据权利要求2-5中任一项所述的系统,其中第二控制器(32)被配置为在位置计算操作和费用计算操作之一或二者期间验证由第一控制器进行的操作的选定子集的完整性。
7.根据权利要求1所述的系统,其中第二控制器被配置为存储仅用于将被验证的一个选定操作的历史数据。
8.根据权利要求1或7所述的系统,其中第一控制器被配置为在进行每个操作时传送历史数据,第二控制器被配置为根据将被验证的那个操作的选择决定是存储还是舍弃所传送的历史数据。
9.根据权利要求1、7和8中任一项所述的系统,其中历史数据是从该系列计算操作的开始和结束状态的哈希导出的。
10.根据权利要求9所述的系统,其中第二控制器被配置为在第一控制器已经发送由第一控制器进行的操作的哈希结果之后指示第一控制器传送哪些历史数据。
11.一种计量系统,包括权利要求1所述的数据处理设备,其中感测单元为能量计,并且第一控制器被配置为基于从感测单元和本地数据源接收的数据产生能量定价。
12.一种操作权利要求1所述的数据处理系统的方法,该方法包括下述步骤:
第一控制器从感测单元和本地数据源接收数据;
第一控制器基于接收到的数据进行一系列操作;
第一控制器记录从该系列计算操作的开始和结束状态导出的历史数据并将历史数据传送至第二控制器;以及
第二控制器随机地或伪随机地选择和验证由第一控制器进行的操作中的一个,采用所述历史数据验证选定操作的完整性,以及提供正确或不正确验证的指示。
13.一种操作根据权利要求2-10中任一项所述的车载远程信息通信系统的方法,该方法包括下述步骤:
第一控制器从位置感测单元以及地图数据源和费用数据源接收数据(184);
第一控制器基于从位置感测单元接收到的数据计算车辆的位置;
第一控制器基于计算出的位置和从地图数据源和费用数据源接收到的数据计算费用;
第一控制器记录从一系列计算操作的开始和结束状态导出的历史数据并将历史数据传送至第二控制器;以及
第二控制器(32)随机地或伪随机地选择和验证该系列操作中的一个,采用所述历史数据验证进行的操作的选定子集的完整性,以及提供正确或不正确验证的指示。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09252808.2 | 2009-12-16 | ||
| EP20090252808 EP2348444B1 (en) | 2009-12-16 | 2009-12-16 | Data processing apparatus |
| PCT/IB2010/055799 WO2011073899A1 (en) | 2009-12-16 | 2010-12-14 | Data processing apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102656590A true CN102656590A (zh) | 2012-09-05 |
| CN102656590B CN102656590B (zh) | 2015-09-16 |
Family
ID=42040656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080057000.5A Expired - Fee Related CN102656590B (zh) | 2009-12-16 | 2010-12-14 | 数据处理设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US9015497B2 (zh) |
| EP (1) | EP2348444B1 (zh) |
| CN (1) | CN102656590B (zh) |
| WO (1) | WO2011073899A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684790A (zh) * | 2013-12-17 | 2014-03-26 | 北京邮电大学 | 基于历史数据的验证方法和系统 |
| CN111489548A (zh) * | 2020-02-28 | 2020-08-04 | 广东中科臻恒信息技术有限公司 | 动态道路交通信息采集方法及系统、存储介质 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8881270B2 (en) * | 2002-12-20 | 2014-11-04 | Creative Mines Llc | Method and apparatus for selectively enabling a microprocessor-based system |
| NZ582630A (en) * | 2010-01-14 | 2013-06-28 | Road Ltd E | System for detecting errors in a vehicle travel distance recorder by comparing recorded distance to a known distance |
| ES2530870T3 (es) | 2011-03-11 | 2015-03-06 | Telit Automotive Solutions Nv | Sistema y procedimiento de peaje de carreteras |
| CN103164434A (zh) * | 2011-12-13 | 2013-06-19 | 阿里巴巴集团控股有限公司 | 实时数据的获取方法、装置及系统 |
| CN102497647B (zh) * | 2011-12-14 | 2014-07-09 | 华南理工大学 | 一种物联网监测系统的完整性验证评估方法 |
| US8570164B2 (en) * | 2012-02-06 | 2013-10-29 | Nxp B.V. | System and method for verifying whether a vehicle is equipped with a functional on-board unit |
| US9589137B2 (en) * | 2013-03-01 | 2017-03-07 | Hitachi, Ltd. | Method for detecting unfair use and device for detecting unfair use |
| EP2905749B1 (en) * | 2014-02-10 | 2021-09-22 | Continental Automotive GmbH | Communication method for a tolling system comprising a server and at least one on-board-unit |
| US9470796B2 (en) * | 2014-04-23 | 2016-10-18 | Opentv, Inc. | Techniques for securing live positioning signals |
| CN106125627A (zh) * | 2016-08-25 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种基于tpm芯片的可信物联网实现方法 |
| US10650621B1 (en) | 2016-09-13 | 2020-05-12 | Iocurrents, Inc. | Interfacing with a vehicular controller area network |
| DE102017219241A1 (de) | 2017-10-26 | 2019-05-02 | Audi Ag | Verfahren und Halbleiterschaltkreis zum Schützen eines Betriebssystems eines Sicherheitssystems eines Fahrzeugs |
| US11654635B2 (en) | 2019-04-18 | 2023-05-23 | The Research Foundation For Suny | Enhanced non-destructive testing in directed energy material processing |
| US20220261476A1 (en) * | 2019-07-22 | 2022-08-18 | Nec Corporation | Security management device, security management method and non-transitory computer-readable medium |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1295697A (zh) * | 1998-01-23 | 2001-05-16 | 丰田自动车株式会社 | 计费处理装置、计费处理系统、计费处理用卡 |
| EP1909231A1 (en) * | 2006-10-06 | 2008-04-09 | Deutsche Telekom AG | Route usage evaluation |
| WO2009090515A2 (en) * | 2008-01-15 | 2009-07-23 | Nxp B.V. | Road toll system |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6308270B1 (en) * | 1998-02-13 | 2001-10-23 | Schlumberger Technologies, Inc. | Validating and certifying execution of a software program with a smart card |
| US7228426B2 (en) * | 2002-04-03 | 2007-06-05 | Microsoft Corporation | Integrity ordainment and ascertainment of computer-executable instructions with consideration for execution context |
| US7631356B2 (en) * | 2005-04-08 | 2009-12-08 | Microsoft Corporation | System and method for foreign code detection |
| JP4372791B2 (ja) * | 2005-08-26 | 2009-11-25 | 三菱電機株式会社 | 情報記憶装置 |
| JP5038396B2 (ja) * | 2006-04-21 | 2012-10-03 | インターデイジタル テクノロジー コーポレーション | トラステッドコンピューティングの完全性測定の通知を実行する装置および方法 |
| JP4959463B2 (ja) | 2007-08-01 | 2012-06-20 | 株式会社トヨタIt開発センター | 位置認証システム |
| TWI366114B (en) * | 2008-03-04 | 2012-06-11 | Ind Tech Res Inst | Record system and method based on one-way hash function |
| CN102124301B (zh) | 2008-08-22 | 2014-04-02 | Nxp股份有限公司 | 基于位置的服务 |
| EP2332088B1 (en) | 2008-08-22 | 2020-10-28 | Titan Automotive Solutions | Verification of process integrity |
-
2009
- 2009-12-16 EP EP20090252808 patent/EP2348444B1/en not_active Not-in-force
-
2010
- 2010-12-14 US US13/510,890 patent/US9015497B2/en active Active
- 2010-12-14 WO PCT/IB2010/055799 patent/WO2011073899A1/en active Application Filing
- 2010-12-14 CN CN201080057000.5A patent/CN102656590B/zh not_active Expired - Fee Related
-
2015
- 2015-03-23 US US14/665,802 patent/US9355504B2/en active Active
-
2016
- 2016-05-27 US US15/166,460 patent/US9641541B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1295697A (zh) * | 1998-01-23 | 2001-05-16 | 丰田自动车株式会社 | 计费处理装置、计费处理系统、计费处理用卡 |
| EP1909231A1 (en) * | 2006-10-06 | 2008-04-09 | Deutsche Telekom AG | Route usage evaluation |
| WO2009090515A2 (en) * | 2008-01-15 | 2009-07-23 | Nxp B.V. | Road toll system |
Non-Patent Citations (1)
| Title |
|---|
| MAXIM RAYA等: "Securing Vehicular Communications", 《WIRELESS COMMUNICATIONS,IEEE》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684790A (zh) * | 2013-12-17 | 2014-03-26 | 北京邮电大学 | 基于历史数据的验证方法和系统 |
| CN103684790B (zh) * | 2013-12-17 | 2017-08-11 | 北京邮电大学 | 基于历史数据的验证方法和系统 |
| CN111489548A (zh) * | 2020-02-28 | 2020-08-04 | 广东中科臻恒信息技术有限公司 | 动态道路交通信息采集方法及系统、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150193987A1 (en) | 2015-07-09 |
| WO2011073899A1 (en) | 2011-06-23 |
| US9355504B2 (en) | 2016-05-31 |
| EP2348444B1 (en) | 2014-03-19 |
| US20160352756A1 (en) | 2016-12-01 |
| US9641541B2 (en) | 2017-05-02 |
| CN102656590B (zh) | 2015-09-16 |
| US20120246735A1 (en) | 2012-09-27 |
| US9015497B2 (en) | 2015-04-21 |
| EP2348444A1 (en) | 2011-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102656590B (zh) | 数据处理设备 | |
| CN100386740C (zh) | 用于检测计算机系统中的安全漏洞的系统和方法 | |
| CN109257342B (zh) | 区块链跨链的认证方法、系统、服务器及可读存储介质 | |
| CN100533333C (zh) | 用于保障平台间和平台内通信的系统和方法 | |
| US9674196B2 (en) | System utilizing a secure element | |
| US7366916B2 (en) | Method and apparatus for an encrypting keyboard | |
| EP3238415B1 (en) | Software tampering detection and reporting process | |
| CN111770198B (zh) | 一种信息共享方法、装置及设备 | |
| CN105518687A (zh) | 安全数据存储装置 | |
| CN102549576A (zh) | 审核设备 | |
| EP2564346B1 (en) | Protecting the information encoded in a bloom filter using encoded bits of data | |
| US20180357603A1 (en) | Systems and methods for delivering retail items | |
| CN111460525A (zh) | 一种基于区块链的数据处理方法、装置及存储介质 | |
| Kumari | Real time authentication system for RFID applications | |
| RU2586868C2 (ru) | Способ обработки данных о наличных денежных расчетах и/или расчетах с использованием платежных карт при работе контрольно-кассовых машин с функциями фиксации и передачи информации и сервера оператора фискальных данных | |
| RU2605914C1 (ru) | Способ обработки данных о наличных денежных расчётах и/или расчётах с использованием платёжных карт при работе контрольно-кассовых машин с функциями фиксации и передачи информации и сервера оператора фискальных данных | |
| CN113129017B (zh) | 一种信息共享方法、装置及设备 | |
| CN111461706A (zh) | 基于区块链的用户信息绑定方法及装置 | |
| CN110750808B (zh) | 一种票据处理方法、装置及存储介质装置 | |
| CN116561739B (zh) | 数据交易方法以及装置、电子设备、存储介质 | |
| CN117079385A (zh) | 基于加密标签的还车方法、装置、设备及存储介质 | |
| Carlsson et al. | Security Analysis of the Swedish Road User Charging System | |
| CN118138254A (zh) | 一种基于区块链技术的数字货币身份认证系统 | |
| TWM556973U (zh) | 具高安全性資料加密之車機裝置 | |
| Ma et al. | Security Analysis of RFID Based on Multiple Readers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: TELITE AUTOMOTIVE SOLUTIONS COMPANY Free format text: FORMER OWNER: KONINKL PHILIPS ELECTRONICS NV Effective date: 20140527 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20140527 Address after: Leuven Applicant after: NXP B.V. Address before: Holland Ian Deho Finn Applicant before: NXP B.V. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Leuven Patentee after: Titan automotive solutions Address before: Leuven Patentee before: NXP B.V. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211228 Address after: Room 707-711, 7th floor, tus Science Park, 118 Wai Yip Street, Kwun Tong, Hong Kong, China Patentee after: Titan Zhixing Technology Co.,Ltd. Address before: Leuven Patentee before: Titan automotive solutions |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150916 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |