CN105991644A - 基于秘密信息执行交叉认证的方法和设备 - Google Patents

Abstract

本发明涉及基于秘密信息执行交叉认证的方法和设备。一种在与外部装置协作的车辆控制器中执行交叉认证的方法包括：根据从外部装置接收的认证请求消息生成随机数S并且将随机数S发送至外部装置；使用具有随机数S作为参数的第一函数生成变量i；使用具有变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；从外部装置接收第一响应密钥；使用具有随机数S、变量i和第一会话密钥Ks作为参数的第三函数生成第二响应密钥；并且基于第一响应密钥是否等于第二响应密钥来认证外部装置。

Description

基于秘密信息执行交叉认证的方法和设备

相关申请的交叉引用

本申请要求于2015年3月17日提交的韩国专利申请第10-2015-0036940号的优先权和权益，通过引用将其结合于此，如在本文中全面阐述的。

技术领域

本公开整体涉及用于执行车辆中的交叉认证的方法和设备，并且更具体地，涉及基于秘密信息提供车辆控制器与外部装置之间的交叉认证的方法和设备。

背景技术

尽量制造的许多车辆包括用于提高驾驶员的便利性和安全性并且增强电子控制装置之间的车载通信网络的多个电子控制装置。随着车载电子控制器的数量增加以及与外部装置的协作变得可行，车辆安全变得愈加重要。

因此，可执行电子控制器的测试以提高安全性和可靠性。为了测试车辆控制器并且更新车辆控制器的内部数据，需要外部测试器的认证。传统地，在车辆控制器与测试器之间的认证过程中，当车辆控制器响应于测试器的认证请求将种子值发送至测试器时，测试器使用所接收的种子值生成密钥值。所生成的关键值随后被发送到电子控制器，并且该电子控制器根据从测试器接收的密钥值是否等于根据预定算法内部生成的密钥值来允许测试器的接入。然而，因为传统的种子密钥算法通过保持用于接收种子值并且生成秘密密钥的算法来维护安全性，所以如果种子密钥算法被公开或者被分析则会危及安全性。

发明内容

因此，本公开涉及基本上避免由于现有技术的局限性和缺点所导致的一个或多个问题的基于秘密信息提供交叉认证的方法和设备。本公开的目标是提供基于秘密信息执行交叉认证的方法和设备。本公开的另一个目标是提供能够基于独立于种子值的预先共享的秘密密钥执行交叉认证的基于秘密信息执行交叉认证的方法和设备。

本公开的另外的优点、目标和特征将在以下描述中被部分地阐述，并且对于本领域普通技术人员来说，一部分在下述检验之后将变得显而易见或可从本公开的实践中了解到。本公开的目标和其他优点可通过在书面描述中和本文的权利要求以及附图中具体指出的结构来实现和获得。

为了实现根据本公开的目的的这些目标其他优点，如本文中体现的并且广泛描述的，在与外部装置协作的车辆控制器中执行交叉认证的方法包括：响应于从外部装置接收的认证请求消息生成随机数S并且将随机数S发送至外部装置；使用具有随机数S作为参数的第一函数生成变量i；使用具有变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；从外部装置接收第一响应密钥；使用具有随机数S、变量i和第一会话密钥Ks作为参数的第三函数生成第二响应密钥；并且基于第一响应密钥是否等于第二响应密钥来认证外部装置。

此外，根据本公开的实施方式，在与车辆控制器协作的外部装置中执行交叉认证的方法包括：将认证请求消息发送至车辆控制器；从车辆控制器接收随机数S；使用具有随机数S作为参数的第一函数生成变量i；使用具有变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；使用具有随机数S、变量i和第一会话密钥Ks作为参数的第三函数生成第一响应密钥；并且将第一响应密钥发送至车辆控制器。

此外，根据本公开的实施方式，执行与外部装置的交叉认证的设备包括：通信单元，被配置为执行与外部装置的通信；随机数生成器，被配置为响应于从外部装置接收的认证请求消息生成随机数S；重复计数生成器，被配置为使用具有随机数S作为参数的第一函数生成变量i；会话密钥生成器，被配置为使用具有变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；响应密钥生成器，被配置为当从外部装置接接收到第一响应密钥时，使用具有随机数S、变量i和第一会话密钥Ks作为参数的第三函数生成第二响应密钥；以及认证单元，被配置为基于第一响应密钥是否等于第二响应密钥来认证外部装置。

此外，根据本公开的实施方式，执行与车辆控制器的交叉认证的设备包括：通信单元，被配置为将认证请求消息发送至车辆控制器并且从车辆控制器接收随机数S；重复计数生成器，被配置为使用具有随机数S作为参数的第一函数生成变量i；会话密钥生成器，被配置为使用具有变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；响应密钥生成器，被配置为使用具有变量i、第一会话密钥Ks和随机数S作为参数的第三函数生成第一响应密钥；以及认证单元，被配置为确定发送到车辆控制器的第一响应密钥是否等于从车辆控制器接收的第三响应密钥并且基于该确定认证车辆控制器。

此外，根据本公开的实施方式，一种包含用于在与外部装置协作的车辆控制器中执行交叉认证的程序指令的计算机可读记录介质包括：响应于从外部装置接收的认证请求消息生成随机数S并且将随机数S发送至外部装置的程序指令；使用具有随机数S作为参数的第一函数生成变量i的程序指令；使用具有变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks的程序指令；从外部装置接收第一响应密钥的程序指令；使用具有随机数S、变量i和第一会话密钥Ks作为参数的第三函数生成第二响应密钥的程序指令；以及基于第一响应密钥是否等于第二响应密钥来认证外部装置的程序指令。

此外，根据本公开的实施方式，一种包含用于在与车辆控制器协作的外部装置中执行交叉认证的程序指令的计算机可读记录介质包括：将认证请求消息发送至车辆控制器的程序指令；从车辆控制器接收随机数S的程序指令；使用具有随机数S作为参数的第一函数生成变量i的程序指令；使用具有变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks的程序指令；使用具有随机数S、变量i和第一会话密钥Ks作为参数的第三函数生成第一响应密钥的程序指令；以及将第一响应密钥发送至车辆控制器的程序指令。

因此，基于本公开的详细说明，本领域的普通技术人员可设计并且理解基于本公开的技术特征的各种实施方式。

附图说明

附图示出了本公开的实施方式并且与说明书一起用来说明本公开的原理，包括附图以提供对本公开的进一步理解并且附图结合在本申请中且构成本申请的一部分。在图中：

图1是示出根据本公开的实施方式的基于秘密信息的交叉认证系统的配置的示图；

图2是示出根据本公开的实施方式的交叉认证方法的流程图；

图3是示出根据本公开的实施方式的会话密钥生成方法的示图；

图4是示出根据本公开的实施方式的会话密钥生成方法的示图；

图5是示出根据本公开的实施方式的响应密钥生成过程的示图；

图6是示出根据本公开的实施方式的车辆控制器中的交叉认证方法的流程图；以及

图7是示出根据本公开的实施方式的外部装置中的交叉认证方法的流程图。

具体实施方式

现在将详细参考本公开的实施方式，在附图中示出本公开的实施方式的实例。为了便于描述，在本文中使用了元件的后缀“模块”和“单元”，并且因此，其能够可交换地使用并且没有任何可区别的含义或功能。

尽管组成本公开的实施方式的所有元件被描述为整合为单个或者作为单个操作，但是本公开不一定局限于这些实施方式。根据实施方式，所有元件在本公开的目标和范围内可选择性地整合为一个或多个元件以及操作为一个或多个元件。每个元件可实施为单独的硬件。可替代地，一些或所有元件可选择性地组合为具有程序模块的计算机程序，该程序模块执行组合在一个或多个硬件中的一些或所有功能。本公开所属领域的技术人员可容易地推理出构成计算机程序的代码和代码段。计算机程序可存储在计算机可读介质中，使得计算机程序由计算机读取和执行以实施本公开的实施方式。计算机程序存储介质可包括磁记录介质、光学记录介质以及载波介质。本文中描述的术语“包括”、“包含”或“具有”应当被解释为不排除其他元件，而是还包括这种其他元件，因为相应的元件可以是固有的，除非另外提到。除非另外提到，否则包括技术和科学术语的所有术语具有与本公开所属领域的普通技术人员通常理解的含义相同的含义。通常使用的术语(诸如在字典中定义的术语)根据上下文应当被解释为与现有技术的意义一致。除非在本公开中明确限定，否则此类术语不应以理想的或过于刻板的含义来解释。

将理解，尽管可以在本文中使用术语第一、第二、A、B、(a)、(b)等来描述本公开的各种元件，但是这些术语仅用于将一个元件与另一个元件区分开并且相应元件的本质、顺序或序列不受这些术语限制。将理解，当一个元件被称为“连接至”、“电连接至”或者“耦接至”另一个元件时，尽管一个元件可以直接连接至或直接电连接至另一个元件，但是一个元件可经由另外的元件“连接至”、“电连接至”或者“耦接至”另一个元件。

应当理解，本文所使用的术语“车辆”或者“用车辆运载的(vehicular)”或者其他的类似术语包括普通机动车辆，诸如包括运动型多用途车辆(SUV)、公共汽车、卡车、各种商用车辆的客运汽车，包括各种船只和舰船的船舶，飞行器等，并且包括混合动力车辆、电动车辆、插电式混合电动车辆、氢动力车辆以及其他替代燃料车辆(例如，来源于除石油以外的资源的燃料)。如本文中提及，混合动力车辆是具有两种或更多种动力源的车辆，例如，汽油动力和电动车辆。

此外，应理解的是，以下方法的一个或多个或者其方面可通过至少一个控制器执行。术语“控制器”可以指包括存储器和处理器的硬件装置。存储器被配置为存储程序指令，并且处理器被特别地编程为执行程序指令以执行下面进一步描述的一个或多个处理。此外，应理解的是，如本领域普通技术人员应理解的，可由包括控制器结合一个或多个其他部件的设备执行以下方法。

此外，本公开的控制器可体现为包括由处理器、控制器等执行的可执行程序指令的计算机可读介质上的非瞬时性计算机可读媒介。计算机可读介质的实例包括但不限于ROM、RAM、光盘(CD)-ROM、磁带、软盘、闪存驱动器、智能卡以及光学数据存储装置。计算机可读介质也可分布在耦接网络的计算机系统中，使得以分布式方式(例如，通过远程信息处理服务器或控制器局域网(CAN))存储并执行计算机可读媒介。

现在参考所公开的实施方式，图1是示出根据本公开的实施方式的基于秘密信息的交叉认证系统的配置的示图。

如图1所示，交叉认证系统可包括外部装置10和车辆控制器20。例如，外部装置10可以是经由预定终端或者无线连接测试车辆状态的测试器或者车载诊断(OBD)装置。外部装置10和车辆控制器20可包括分别经由有线或无线连接发送和接收信号的通信单元11和21。

此外，外部装置10和车辆控制器20可分别包括：用于交叉认证的随机数生成器12和22、重复数生成器13和23、会话密钥生成器14和24、响应密钥生成器15和25、认证器16和26以及用于控制装置的整体操作的控制器17和27。随机数生成器12和22可生成具有预定长度的随机数。例如，外部装置10的随机数生成器12可生成具有预定长度的随机数R并且将包括所生成的随机数R的认证请求消息发送至车辆控制器20。此外，车辆控制器20的随机数生成器可在接收到认证请求消息时生成具有预定长度的随机数S。

重复计数生成器13和23可生成变量i(在下文中，这与重复计数i可互换地使用)，变量i是用于确定认证算法的计算复杂性的参数以及使用通过外部装置10的随机数生成器12生成的随机数R和通过车辆控制器20的随机数生成器22生成的随机数S中的至少一个的安全等级。在下文中，为了便于描述，使用随机数R和随机数S中的至少一个作为参数生成变量i的函数被称为第一函数f₁。

例如，可通过等式1生成重复计数i。

等式1:i＝f₁(R,S)＝L_s(R)+S mod 16,

其中，L_S(R)可以是将随机数R循环移位随机数S的位数的函数。例如，如果随机数R的位序是(x_n-1,x_n-2,...,x₁,x₀)₂，则函数L_S(R)可向左循环移位随机数S的位数以生成(x_n-s-1,...,x₁,x₀,x_n-1,x_n-2,...,x_n-s)₂。

会话密钥生成器14和24可使用具有重复计数i、预先共享的秘密密钥K和随机数S作为参数的第二函数f2生成第一会话密钥Ks。会话密钥生成器14和24可使用重复计数i、第一会话密钥Ks和第一响应密钥A_Tester或者第二响应密钥A_ECU生成第二会话密钥K_S2。

将参考图3和图4详细描述会话密钥生成过程。

响应密钥生成器15和25可接收重复计数i、会话密钥K、随机数R以及随机数S中的至少一个作为参数并且生成响应密钥。在下文中，为了便于描述，用于生成响应密钥的函数被称为第三函数。

例如，车辆控制器20的响应密钥生成器25可接收重复计数i、第一会话密钥Ks、随机数R和随机数S作为参数并且生成第二响应密钥A_ECU。类似地，外部装置10的响应密钥生成器15可接收重复计数i、第一会话密钥Ks、随机数R和随机数S作为参数并且生成第一响应密钥A_Tester。

此外，车辆控制器20的响应密钥生成器25在从外部装置10接收到第一响应密钥A_Tester时可根据第一响应密钥A_Tester和第二响应密钥是否相等来生成第三响应密钥B_ECU。类似地外部装置10的响应密钥生成器15可生成第四响应密钥B_Tester。

以下将参考图5详细描述响应密钥生成器15和25的响应密钥生成过程。

认证器16和26可确定从另一个装置接收的响应密钥和内部生成的响应是否彼此相等，并且基于确定结果确定另一个装置的认证是否成功。

例如，当内部生成的第四响应密钥B_Tester和从车辆控制器10接收的第三响应密钥B_ECU相等时，外部装置10的认证器16可确定车辆控制器10的认证是成功的。如另一实例，当从外部装置10接收的第一响应密钥A_Tester和内部生成的第二响应密钥A_ECU相等时，车辆控制器20的认证器26可确定外部装置10的认证是成功的。

因此，根据本公开的外部装置10和车辆控制器20可通过使用预先共享的秘密密钥生成响应密钥并且彼此交换所生成的响应密钥来执行交叉认证。

图2是示出根据本公开的实施方式的交叉认证方法的流程图。

如图2所示，可在外部装置10和车辆控制器20之间保持预先共享的秘密密钥K。例如，秘密密钥K的长度可以是80位或者128位中的任一个。外部装置10可生成随机数R并且将包括所生成的随机数R的认证请求消息发送至车辆控制器20(S201至S203)。

在接收到认证请求消息时，车辆控制器20生成随机数S并且将随机数S发送至外部装置10(S205至S207)。此时，车辆控制器20可使用具有随机数R和随机数作为参数的第一函数计算重复计数i(S209)。

随后，车辆控制器20可输入重复计数i、秘密密钥K和随机数S作为第二函数的参数并且生成第一会话密钥Ks(S211)。

在接收到作为种子值的随机数S时，外部装置10可使用具有预先生成的随机数R和从车辆控制器20接收的随机数S作为参数的第一函数生成重复计数i(S215)。

此外，外部装置10可输入重复计数i、秘密密钥K和随机数S作为第二函数的参数并且生成第一会话密钥Ks(S216)。

外部装置10可使用具有重复计数i、第一会话密钥Ks、随机数R和随机数S作为参数的第三函数生成第一响应密钥A_Tester并且将第一响应密钥A_Tester发送至车辆控制器20(S219至S221)。

此时，外部装置20可使用所生成的第一响应密钥A_Tester生成第四响应密钥B_Tester。更具体地，外部装置10可使用具有第一响应密钥A_Tester和重复计数i作为参数的第四函数生成重复计数j并且使用具有所生成的重复计数j和预先生成的第一会话密钥Ks作为参数的第五函数生成第二会话密钥K_S2。随后，外部装置10可使用如转换变量j、第二会话密钥K_S2、随机数R和随机数S作为参数的第六函数生成第四响应密钥B_Tester。

车辆控制器20可检查所接收的第一响应密钥A_Tester和内部生成的第二响应密钥A_ECU是否相等(S223)。如果根据核查结果这些密钥是相等的，则可使用具有第一响应密钥A_ECU和重复计数i作为参数的第四函数生成重复计数j并且可使用具有所生成的重复计数j和预先生成的第一会话密钥Ks作为参数的第五函数生成第二会话密钥K_S2。随后，车辆控制器20可使用具有转换变量j、第二会话密钥K_S2、随机数R和随机数S作为参数的第六函数生成第三响应密钥B_ECU。如果根据步骤S223的核查结果这些密钥是不相等的，则车辆控制器20可使用预定的随机数生成器生成随机数。此时，所生成的随机数可成为第三响应密钥B_ECU。

车辆控制器20可将第三响应密钥B_ECU发送至外部装置10(S225)。

外部装置10可确定所接收的第三响应密钥B_ECU是否等于预先生成的第四响应密钥B_Tester(S227)。如果根据判定结果这些密钥是相等的，则外部装置10可确定车辆控制器20的认证是成功的。相反，如果根据步骤S227的判定结果这些密钥是不相等的，则外部装置10可确定车辆控制器20的认证失败。

图3是示出根据本公开的实施方式的会话密钥生成方法的示图。更具体地，图3示出了在外部装置10的预先分配的秘密密钥K 301的长度是80位时生成第一会话密钥Ks的方法。

如图3所示，外部装置10可按照秘密密钥K 301的长度重复连接随机数S 302(其是从车辆控制器20所接收的种子值)并然后经由异或操作303生成具有80位的长度的K’304。例如，如参考标号310所示，两个随机数S 302和随机数S 302的低16位被连接以生成具有80位长度的位序列。此时，外部装置10可执行所生成的位序列和秘密密钥K 301的按位异或操作以生成K’304。

随后，如参考标号320所示，外部装置10可将所生成的K’304向左或向右循环移位重复计数i，并然后执行所循环移位的K’(L_i(K’))和K’304的按位异或操作，从而生成第一会话密钥Ks。

图4是示出了根据本公开的实施方式的会话密钥生成方法的示图。更具体地，图4示出了在外部装置10的预先分配的秘密密钥K 401的长度是128位时生成第一会话密钥Ks的方法。

如图4所示，外部装置10可按照秘密密钥K 401的长度重复连接随机数S 402(其是从车辆控制器20所接收的种子值)，并然后经由异或操作403生成具有128位的长度的K’404。

例如，如参考标号410所示，当随机数S 402具有32位的长度时，可连接四个随机数S 402以生成具有128位的长度的位序列。此时，外部装置10可执行所生成的位序列和秘密密钥K 401的按位异或操作以生成K’404。

随后，如参考标号420所示，外部装置10可将所生成的K’404向左或向右循环移位重复计数i，并然后执行循环移位的K’(L_i(K’))和K’404的按位异或操作，从而生成第一会话密钥Ks。

尽管上面已描述了生成外部装置10的第一会话密钥Ks的程序，可使用图3至图4中示出的方法生成根据本公开的第二会话密钥K_S2。

图5是示出根据本公开的实施方式的响应密钥生成过程的示图。更具体地，图5是示出生成外部装置10的第一响应密钥A_Tester的过程的示图。

如图5所示，外部装置10可执行如下面的等式5-1所示的内部生成的随机数R和从车辆控制器20接收的随机数S的按位异或操作，并且生成4位l_i。在此，i可具有0至7的值。

等式5-1：

$R\⊕S=l_7\left|\right|l_6\left|\right|l_5\left|\right|l_4\left|\right|l_3\left|\right|l_2\left|\right|l_1\left|\right|l_0$

随后，如等式5-2所示，外部装置10可通过参考集合h(l_i)执行l_i的替换。

等式5-2：

$g_1(R\⊕S)=h\left(l_7\right)\left|\right|h\left(l_6\right)\left|\right|h\left(l_5\right)\left|\right|h\left(l_4\right)\left|\right|h\left(l_3\right)\left|\right|h\left(l_2\right)\left|\right|h\left(l_1\right)\left|\right|h\left(l_0\right),$

其中，h(l_i)＝{9,4,10,11,13,1,8,5,6,2,0,3,12,14,15,17}。

此后，如以下等式5-3所示，外部装置10可将替换结果h(l₇)||h(l₆)||h(l₅)||h(l₄)||h(l₃)||h(l₂)||h(l₁)||h(l₀)乘以预定的4×4矩阵生成l′₇||l′₆||l′₅||l′₄||l′₃||l′₂||l′₁||l′₀。

等式5-3：

$\left(\begin{array}{cccc}1& 1& 2& 3\\ 1& 2& 3& 1\\ 2& 3& 1& 1\\ 3& 1& 1& 2\end{array}\right)\left(\begin{array}{cc}h\left(l_7\right)& h\left(l_6\right)\\ h\left(l_5\right)& h\left(l_4\right)\\ h\left(l_3\right)& h\left(l_2\right)\\ h\left(l_1\right)& h\left(l_0\right)\end{array}\right)=\left(\begin{array}{cc}{l^{\′}}_7& {l^{\′}}_6\\ {l^{\′}}_5& {l^{\′}}_4\\ {l^{\′}}_3& {l^{\′}}_2\\ {l^{\′}}_1& {l^{\′}}_0\end{array}\right)$

例如，参照以上等式5-3，

l’₇可计算为

在此，如果二进制数x是(x3,x2,x1,x0)，则2x和3x可分别定义为和

最后，如以下等式5-4所示，外部装置10可生成第一响应密钥A_Tester。

等式5-4：

$\begin{array}{c}A\_Tester={\[g_3\left(w_{i+4}\right(K_S),l_7|\left|l_6\right|\left|l_5\right|\left|l_4\right|\left|l_3\right|\left|l_2\right|\left|l_1\right|\left|l_0\right)\]}^{i+4}\\ ={\[w_{i+4}\left(K_S\right)\⊕l_7\left|\right|l_6\left|\right|l_5\left|\right|l_4\left|\right|l_3\left|\right|l_2\left|\right|l_1\left|\right|l_0\]}^{i+4},\end{array}$

其中，可定义w_j(Ks)＝L_{37j mod(secret key size)}(Ks)mod 2³²。在此，Ks是图3或者图4中计算的第一会话密钥Ks的值并且j可以是通过将4加到重复计数i所获得的值，其中，4是函数g₃的最小重复计数。此外，w_j(Ks)可以是用于将第一会话密钥Ks的低32位向左循环移位37位的函数。

尽管用于生成响应密钥的函数g₃的最小重复计数被定义为4，但是本公开并不限于此。此外或者可替代的，根据ECU所需要的安全等级以及ECU的种类可不同地指定最小重复计数。例如，具有高ECU等级的ECU的最小重复计数可被设置为高于具有低ECU等级的ECU的最小重复计数。尽管在图3至图5中描述了外部装置10的会话密钥生成过程以及响应密钥生成过程，可使用相同或者类似方法执行车辆控制器20的会话密钥生成过程以及响应密钥生成过程。

图6是示出根据本公开的实施方式的车辆控制器中的交叉认证方法的流程图。

如图6所示，当从外部装置10接收到认证请求消息时，车辆控制器20可生成随机数S并且将随机数S发送至外部装置10(S601)。认证请求消息可包括通过外部装置10生成的随机数R。

车辆控制器20可使用具有随机数S作为参数的第一函数生成作为重复计数的变量i，并且使用具有所生成的变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks(S603至S605)。

当从外部装置10接收到第一响应密钥A_Tester时，车辆控制器20可使用具有随机数S、变量i和第一会话密钥Ks作为参数的第三函数生成第二响应密钥A_ECU(S607至S609)。如果随机数R包括在认证请求消息中，车辆控制器20除了使用随机数S、变量i和第一会话密钥Ks之外可使用随机数R生成第二响应密钥A_ECU。

随后，车辆控制器20可确定第一响应密钥A_Tester是否等于第二响应密钥A_ECU(S611)。

如果根据检查结果这些密钥是相等的，则车辆控制器20可使用具有第二响应密钥A_ECU和变量i作为参数的第四函数生成变量j，并且使用具有在步骤S605中生成的第一会话密钥Ks和变量j作为参数的第五函数生成第二会话密钥K_S2(S615)。

在此，第四函数可以是用于将第二响应密钥A_ECU向左循环移位变量i的函数并且可对应于第一函数。此外，第五函数可以是使用变量j、会话密钥Ks和随机数S作为参数来执行图3或者图4中示出的会话密钥生成过程的函数，并且可对应于步骤S605的第二函数。

车辆控制器20可使用具有随机数S、变量j和第二会话密钥K_S2作为参数的第六函数生成第三响应密钥B_ECU，并然后将所生成的第三响应密钥B_ECU发送至外部装置10(S617至S619)。应注意，如果随机数R包括在认证请求消息中，车辆控制器20可进一步使用随机数R生成第三响应密钥B_ECU。

在此，第六函数可以是执行图5中示出的响应密钥生成过程的函数并且可对应于步骤S609的第三函数。

如果基于确定结果这些密钥彼此不相等，则车辆控制器20可经由预定的随机生成器生成随机数并且设置所生成的随机数以及将所生成的随机数发送至外部装置10作为第三响应密钥B_ECU(S618至S619)。在这种情况下，外部装置10可确认内部生成的第四响应密钥B_Tester和从车辆控制器20接收的第三响应密钥B_ECU不同并且确定车辆控制器20的认证失败。

图7是示出根据本公开的实施方式的外部装置中的交叉认证方法的流程图。

如图7所示，外部装置10可将认证请求消息发送至车辆控制器20(S701)。认证请求消息可包括通过外部装置10生成的随机数R。

当从车辆控制器20接收到随机数S时，外部装置10可使用具有随机数S作为参数的第一函数生成作为重复计数的变量i(S703至S705)。

外部装置10可使用具有所生成的变量i、预先存储的秘密密钥K和随机数S作为参数的第二函数生成第一会话密钥Ks(S707)。

随后，外部装置10可使用具有随机数S、变量i和第一会话密钥Ks作为参数的第三函数生成第三响应密钥A_Tester，然后将所生成的第三响应密钥A_Tester发送至车辆控制器20(S709)。如果随机数R包括在认证请求消息中，则外部装置10可进一步使用随机数R生成第一响应密钥A_Tester。

外部装置10可使用具有第一响应密钥A_Tester和变量i作为参数的第四函数生成变量j并且使用具有变量j和第一会话密钥Ks作为参数的第五函数生成第二会话密钥K_S2。第四函数可以是将第一响应密钥A_Tester向左循环移位变量i的函数。此外，第五函数可以是使用变量j、第一会话密钥Ks和随机数S来执行图3或者图4中示出的会话密钥生成过程的函数，类似于步骤S707的第二函数。

外部装置10可使用具有随机数S、变量j和第二会话密钥K_S2作为参数的第六函数生成第四响应密钥B_Tester(S713)。在此，第六函数可执行图5中示出的响应密钥生成过程并且对应于步骤S709的第三函数。

当从车辆控制器20接收到第三响应密钥B_ECU时，外部装置10可确定预先生成的第四响应密钥B_Tester是否等于第三响应密钥B_ECU(S714至S715)。

如果第四响应密钥B_Tester等于第三响应密钥B_ECU，则外部装置10可确定车辆控制器20的认证是成功的(S717)。相反，如果第四响应密钥B_Tester不等于第三响应密钥B_ECU，则外部装置10可确定车辆控制器20的认证失败(S719)。

根据本公开的方法和设备的示例性效果如下：

首先，可以提供基于秘密信息来执行交叉认证的方法和设备。第二，可以提供能够基于独立于种子值的预先共享的秘密密钥执行交叉认证的基于秘密信息执行交叉认证的方法和设备。第三，可以通过根据种子值动态改变重复计数i来动态改变秘密密钥的安全等级和计算复杂性。第四，可以通过提供具有各种长度的秘密密钥来控制安全等级。

对本领域技术人员将显而易见的是，在不偏离本公开的精神和范围的情况下，能够以其他具体形式来实施本公开。因此，上述详细说明不应被解释为在各个方面限制本公开以及被认为是举例的方式。应通过所附权利要求的合理解释来确定本公开的范围，并且在不偏离本公开的情况下所做的所有等价修改应包括在所附权利要求的范围中。

Claims (39)

1.一种在与外部装置协作的车辆控制器中执行交叉认证的方法，所述方法包括如下步骤：

响应于从所述外部装置接收的认证请求消息生成随机数S并将所述随机数S发送至所述外部装置；

使用具有所述随机数S作为参数的第一函数生成变量i；

使用具有所述变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；

从所述外部装置接收第一响应密钥；

使用具有所述随机数S、所述变量i和所述第一会话密钥Ks作为参数的第三函数生成第二响应密钥；并且

基于所述第一响应密钥是否等于所述第二响应密钥来认证所述外部装置。

2.根据权利要求1所述的方法，其中，当随机数R包括在所述认证请求消息中时，所述随机数R和所述随机数S被设置为所述第一函数的参数，以便生成所述变量i。

3.根据权利要求2所述的方法，其中，所述变量i通过以下等式来计算：

i＝f₁(R,S)＝L_S(R)+S mod 16，

其中，L_S(R)是用于将所述随机数R循环移位所述随机数S的位数的函数。

4.根据权利要求1所述的方法，其中，所述随机数S进一步用于生成所述第一会话密钥Ks。

5.根据权利要求4所述的方法，其中，所述第一会话密钥Ks通过对第一值和第二值执行按位异或操作来生成，所述第一值通过执行所述秘密密钥K和所述随机数S的异或操作来生成，所述第二值通过将所述第一值循环移位所述变量i来生成。

6.根据权利要求5所述的方法，其中，所述第一值通过按照所述秘密密钥K的位数重复连接所述随机数S并然后执行所述按位异或操作来生成。

7.根据权利要求1所述的方法，其中，当随机数R包括在所述认证请求消息中时，所述随机数R进一步用于生成所述第二响应密钥。

8.根据权利要求7所述的方法，其中，所述第二响应密钥通过以下等式来计算：

$\begin{array}{c}{f}_3\left(\begin{array}{cccc}i,& K_S,& R,& S\end{array}\right)=g\left(\begin{array}{cccc}i+m,& K_S,& R,& S\end{array}\right)=\[g_3(w_{i+m}\left(K_S\right),\\ g_2\left(g_1\right(R\⊕S\left)\right)\left)\right){\]}^{i+m},\end{array}$

其中，m是基于所述车辆控制器所需要的安全级别而预先确定的最小重复计数。

9.根据权利要求8所述的方法，其中，通过以下等式来计算：

$R\⊕S=l_7\left|\right|l_6\left|\right|l_5\left|\right|l_4\left|\right|l_3\left|\right|l_2\left|\right|l_1\left|\right|l_0,$

其中，l_j是通过将执行所述随机数R和所述随机数S的按位异或操作的结果按4位划分所获得的值。

10.根据权利要求9所述的方法，其中，通过以下等式计算：

$g_1(R\⊕S)=h\left(l_7\right)\left|\right|h\left(l_6\right)\left|\right|h\left(l_5\right)\left|\right|h\left(l_4\right)\left|\right|h\left(l_3\right)\left|\right|h\left(l_2\right)\left|\right|h\left(l_1\right)\left|\right|h\left(l_0\right),$

其中，h(l_j)是替换运算。

11.根据权利要求10所述的方法，其中，h(l_j)通过以下等式计算：

h(l_j)＝{9,4,10,11,13,1,8,5,6,2,0,3,12,14,15,7}。

12.根据权利要求10所述的方法，其中，通过预定的4×4矩阵和4位h(l_j)的乘积来计算。

13.根据权利要求12所述的方法，其中，通过以下等式计算：

$\left(\begin{array}{cccc}1& 1& 2& 3\\ 1& 2& 3& 1\\ 2& 3& 1& 1\\ 3& 1& 1& 2\end{array}\right)\left(\begin{array}{cc}h\left(l_7\right)& h\left(l_6\right)\\ h\left(l_5\right)& h\left(l_4\right)\\ h\left(l_3\right)& h\left(l_2\right)\\ h\left(l_1\right)& h\left(l_0\right)\end{array}\right)=\left(\begin{array}{cc}{l^{\′}}_7& {l^{\′}}_6\\ {l^{\′}}_5& {l^{\′}}_4\\ {l^{\′}}_3& {l^{\′}}_2\\ {l^{\′}}_1& {l^{\′}}_0\end{array}\right).$

14.根据权利要求13所述的方法，其中，当h(l_j)是(x3,x2,x1,x0)时，2h(l_j)和3h(l_j)通过以下等式计算：

$2h\left(l_j\right)=(x2,x1,x0\⊕x3,x3),$ 并且

$3h\left(l_j\right)=(x2\⊕x3,x1\⊕x2,x0\⊕x1\⊕x3,x0\⊕x3).$

15.根据权利要求13所述的方法，其中，w_i+m(KS)是用于将所述第一会话密钥Ks的低32位循环移位预定位数的函数。

16.根据权利要求15所述的方法，其中，所述第三函数是用于执行循环移位的32位Ks和八个4位块/′₇||/′₆||/′₅||/′₄||/′₃||/′₂||/′₁||/′₀的按位异或操作的函数。

17.根据权利要求1所述的方法，进一步包括如下步骤：

当所述第一响应密钥等于所述第二响应密钥时，

使用所述第二响应密钥生成第三响应密钥；并且

将所述第三响应密钥发送至所述外部装置。

18.根据权利要求17所述的方法，其中，所述第三响应密钥的生成包括如下步骤：

使用具有所述第二响应密钥和所述变量i作为参数的所述第一函数生成变量j；

使用具有所述变量j、所述第一会话密钥Ks和所述随机数S作为参数的所述第二函数生成第二会话密钥K_S2；并且

使用具有所述变量j、所述第二会话密钥K_S2和所述随机数S作为参数的所述第三函数生成所述第三响应密钥。

19.根据权利要求1所述的方法，进一步包括如下步骤：

当所述第一响应密钥不等于所述第二响应密钥时，将作为随机数的第三响应密钥发送至所述外部装置。

20.一种在与车辆控制器协作的外部装置中执行交叉认证的方法，所述方法包括如下步骤：

将认证请求消息发送至所述车辆控制器；

从所述车辆控制器接收随机数S；

使用具有所述随机数S作为参数的第一函数生成变量i；

使用具有所述变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；

使用具有所述随机数S、所述变量i和第一会话密钥Ks作为参数的第三函数生成第一响应密钥；并且

将所述第一响应密钥发送至所述车辆控制器。

21.根据权利要求20所述的方法，其中，当随机数R包括在所述认证请求消息中时，所述随机数R和所述随机数S被设置为所述第一函数的参数，以生成所述变量i。

22.根据权利要求21所述的方法，其中，所述变量i通过以下等式生成：

i＝f₁(R,S)＝L_S(R)+S mod 16，

其中，L_S(R)是用于将所述随机数R循环移位所述随机数S的位数的函数。

23.根据权利要求20所述的方法，其中，所述随机数S进一步用作所述第二函数的参数以生成所述第一会话密钥Ks。

24.根据权利要求23所述的方法，其中，所述第一会话密钥Ks通过对第一值和第二值执行按位异或操作来生成，所述第一值通过执行所述秘密密钥K和所述随机数S的异或操作来生成，所述第二值通过将所述第一值循环移位所述变量i来生成。

25.根据权利要求24所述的方法，其中，所述第一值通过按照所述秘密密钥K的位数重复连接所述随机数S并然后执行所述按位异或操作来生成。

26.根据权利要求20所述的方法，其中，当随机数R包括在所述认证请求消息中时，所述随机数R进一步用于生成所述第一响应密钥。

27.根据权利要求26所述的方法，其中，所述第一响应密钥通过以下等式计算：

$\begin{array}{c}{f}_3\left(\begin{array}{cccc}i,& K_S,& R,& S\end{array}\right)=g\left(\begin{array}{cccc}i+m,& K_S,& R,& S\end{array}\right)=\[g_3(w_{i+m}\left(K_S\right),\\ g_2\left(g_1\right(R\⊕S\left)\right)\left)\right){\]}^{i+m},\end{array}$

其中，m是基于所述车辆控制器所需要的安全级别而预先确定的最小重复计数。

28.根据权利要求27所述的方法，其中，通过以下等式计算：

$R\⊕S=l_7\left|\right|l_6\left|\right|l_5\left|\right|l_4\left|\right|l_3\left|\right|l_2\left|\right|l_1\left|\right|l_0,$

其中，l_j是通过将执行所述随机数R和所述随机数S的按位异或操作的结果按4位划分所获得的值。

29.根据权利要求28所述的方法，其中，通过以下等式计算：

$g_1(R\⊕S)=h\left(l_7\right)\left|\right|h\left(l_6\right)\left|\right|h\left(l_5\right)\left|\right|h\left(l_4\right)\left|\right|h\left(l_3\right)\left|\right|h\left(l_2\right)\left|\right|h\left(l_1\right)\left|\right|h\left(l_0\right),$

其中，h(l_j)是替换运算。

30.根据权利要求29所述的方法，其中，h(l_j)通过以下等式计算：

h(l_j)＝{9,4,10,11,13,1,8,5,6,2,0,3,12,14,15,7}。

31.根据权利要求29所述的方法，其中，通过预定的4×4矩阵和4位h(l_j)的乘积来计算。

32.根据权利要求31所述的方法，其中，通过以下等式来计算：

$\left(\begin{array}{cccc}1& 1& 2& 3\\ 1& 2& 3& 1\\ 2& 3& 1& 1\\ 3& 1& 1& 2\end{array}\right)\left(\begin{array}{cc}h\left(l_7\right)& h\left(l_6\right)\\ h\left(l_5\right)& h\left(l_4\right)\\ h\left(l_3\right)& h\left(l_2\right)\\ h\left(l_1\right)& h\left(l_0\right)\end{array}\right)=\left(\begin{array}{cc}{l^{\′}}_7& {l^{\′}}_6\\ {l^{\′}}_5& {l^{\′}}_4\\ {l^{\′}}_3& {l^{\′}}_2\\ {l^{\′}}_1& {l^{\′}}_0\end{array}\right).$

33.根据权利要求32所述的方法，其中，当h(l_j)是(x3,x2,x1,x0)时，2h(l_j)和3h(l_j)通过以下等式计算：

$2h\left(l_j\right)=(x2,x1,x0\⊕x3,x3),$ 以及

$3h\left(l_j\right)=(x2\⊕x3,x1\⊕x2,x0\⊕x1\⊕x3,x0\⊕x3).$

34.根据权利要求32所述的方法，其中，w_i+m(KS)是用于将所述第一会话密钥Ks的低32位循环移位预定位数的函数。

35.根据权利要求34所述的方法，其中，所述第三函数是用于执行循环移位的32位Ks和八个4位块/′₇||/′₆||/′₅||/′₄||/′₃||/′₂||/′₁||/′₀的按位异或操作的函数。

36.根据权利要求20所述的方法，进一步包括如下步骤：

从所述车辆控制器接收第三响应密钥；

使用所述第一响应密钥生成第四响应密钥；并且

基于所述第三响应密钥是否等于所述第四响应密钥来认证所述车辆控制器。

37.根据权利要求36所述的方法，其中，所述第四响应密钥的生成包括如下步骤：

使用具有所述第一响应密钥和所述变量i作为参数的所述第一函数生成变量j；

使用具有所述变量j和所述第一会话密钥Ks作为参数的所述第二函数生成第二会话密钥K_S2；并且

使用具有所述变量j、所述第二会话密钥K_S2和所述随机数S作为参数的所述第三函数生成所述第四响应密钥。

38.一种执行与外部装置的交叉认证的设备，所述设备包括：

通信单元，被配置为执行与所述外部装置的通信；

随机数生成器，被配置为响应于从所述外部装置接收的认证请求消息生成随机数S；

重复计数生成器，被配置为使用具有所述随机数S作为参数的第一函数生成变量i；

会话密钥生成器，被配置为使用具有所述变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；

响应密钥生成器，被配置为当从所述外部装置接收到第一响应密钥时，使用具有所述随机数S、所述变量i和所述第一会话密钥Ks作为参数的第三函数生成第二响应密钥；以及

认证单元，被配置为基于所述第一响应密钥是否等于所述第二响应密钥来认证所述外部装置。

39.一种执行与车辆控制器的交叉认证的设备，所述设备包括：

通信单元，被配置为将认证请求消息发送至所述车辆控制器并且从所述车辆控制器接收随机数S；

重复计数生成器，被配置为使用具有所述随机数S作为参数的第一函数生成变量i；

会话密钥生成器，被配置为使用具有所述变量i和预先存储的秘密密钥K作为参数的第二函数生成第一会话密钥Ks；

响应密钥生成器，被配置为使用具有所述变量i、所述第一会话密钥Ks和所述随机数S作为参数的第三函数生成第一响应密钥；以及

认证单元，被配置为确定发送到所述车辆控制器的所述第一响应密钥是否等于从所述车辆控制器接收的第三响应密钥并且基于所述确定认证所述车辆控制器。