CN108141757A - 用于安全远程信息处理通信的系统、方法和装置 - Google Patents

Abstract

一种方法，包括：接收与多个装备件中的每个装备件的远程信息处理单元和控制系统相关的注册信息；响应于由所述多个装备件中的所述特定装备件的所述控制系统接收到远程信息处理会话请求，经由所述多个装备件中的特定装备件的远程信息处理单元从控制系统接收种子；基于包括在种子中的信息和注册信息来认证特定装备件的远程信息处理单元和控制系统；响应于所述认证而生成加密密钥；以及通过远程信息处理单元将加密密钥提供给控制系统，以通过特定装备件的远程信息处理单元建立从控制系统到处理电路的专有数据通信信道。

Description

用于安全远程信息处理通信的系统、方法和装置

相关申请的交叉引用

本申请要求于2015年9月30日提交的标题为“用于安全远程信息处理通讯的系统、方法和装置(SYSTEM,METHOD,AND APPARATUS FOR SECURE TELEMATICS COMMUNICATION)”的第5221/CHE/2015号印度专利申请的权益，其全部内容通过引用并入本文。

背景技术

远程信息处理是指通信与信息处理的结合，适用于许多领域，如车辆。典型地，车载远程信息处理包括可通信地联接到车辆的控制系统的第三方远程信息处理盒。第三方远程信息处理盒接收来自控制系统的非机密数据或公共数据，将非机密信息提供给他们自己的平台(例如，云或其他计算位置)，并且最终可以基于一项或多项协议将公共数据提供给控制系统的提供者/制造商。尽管控制系统可以访问私人数据(即机密数据)和公共数据，但是控制系统被配置为防止将所述私人数据传播给例如第三方(诸如远程信息处理单元的提供者)。虽然公共数据的传输可以提供对一些感兴趣的数据点的了解，但是控制系统提供商/制造商或其客户可能希望私人数据用作各种目的(例如，远程诊断等)。因此，需要通过第三方远程信息处理盒提供商在控制系统提供商/制造商之间进行安全远程信息处理通信，以传输所述专有数据。

发明内容

本文公开的各种实施例涉及车辆控制系统、车辆控制系统的远程操作者和远程信息处理盒之间的安全远程信息处理通信的建立、管理和促进。

一个实施例涉及一种装置。该装置包括：注册模块，其被构造为接收关于一件装备的远程信息处理单元和控制系统的注册信息；种子模块，其被构造为响应于所述控制系统接收到远程信息处理会话请求而经由所述远程信息处理单元从所述控制系统接收种子，其中所述种子模块被构造为基于包含在种子中的信息来认证所述一件装备的所述远程信息处理单元和所述控制系统；以及安全通信模块，其被构造为响应于所述认证而生成加密密钥并且经由所述远程信息处理单元向所述控制系统提供所述加密密钥以建立经由所述远程信息处理单元从所述控制系统到所述装置的专有数据通信信道。在一个实施例中，该装备被配置为车辆。

另一个实施例涉及远程信息处理环境。远程信息处理环境包括多个装备件以及可通信地联接到每个装备件的远程信息处理单元的控制器，每个装备件具有控制系统和与控制系统可通信联接的远程信息处理单元。控制器被构造为：接收关于每个装备件的远程信息处理单元和控制系统的注册信息；响应于多个装备件中的特定装备件的控制系统接收到远程信息处理会话请求，经由远程信息处理单元从控制系统接收种子；基于包含在种子中的信息来认证特定装备件的远程信息处理单元和控制系统；响应于该认证而生成加密密钥；以及通过远程信息处理单元将加密密钥提供给控制系统，以通过特定装备件的远程信息处理单元建立从控制系统到控制器的专有数据通信信道。

又一个实施例涉及一种方法。该方法包括通过处理电路接收关于多个装备件中的每个装备件的远程信息处理单元和控制系统的注册信息；响应于多个装备件中的特定装备件的控制系统接收到远程信息处理会话请求，由处理电路经由多个装备件中的特定装备件的远程信息处理单元接收来自控制系统的种子；由所述处理电路基于所述种子所包括的信息和所述注册信息来认证所述特定装备件的远程信息处理单元和控制系统；由处理电路响应于上述认证而生成加密密钥；以及由处理电路经由远程信息处理单元向控制系统提供经加密的密钥以经由特定装备件的远程信息处理单元建立从控制系统到处理电路的专有数据通信信道。

结合附图，通过以下详细描述，这些和其他特征及其组织和操作方式将变得明显。

附图说明

图1是根据示例实施例的具有可通信地联接到远程信息处理系统的多个车辆的远程信息处理环境的示意图。

图2是根据示例实施例的图1的远程信息处理系统的示意图。

图3是根据示例实施例的用于远程信息处理通信会话的学习会话的示意图。

图4是根据示例实施例的建立安全远程信息处理通信会话的方法的流程图。

具体实施方式

为了促进对本公开的原理的理解，现在将参考在附图中示出的各实施例，并且将使用特定的语言来描述这些实施例。然而应该理解的是，由此并不意欲限制本公开的范围，本领域技术人员通常会想到的与本公开相关的所示出的各实施例中的任何变更和进一步修改、以及如本文所示的本公开的原理的任何进一步应用在本文中被考虑。

总体参考附图，本文提供的各种系统、方法和装置涉及安全远程信息处理通信会话的建立。常规车辆包括用于控制各种部件(例如，加油致动器等)的一个或多个控制系统。但是，控制系统不设有用于与远程设备进行通信的外部通信设备。因此，远程信息处理单元被配置为与远程设备(例如远程信息处理单元制造商自己的平台，诸如远程服务器或监视器)进行通信。远程信息处理单元适于与车辆的(多个)控制系统进行接收和通信联接。但是，远程信息处理单元供应商通常是相对于车辆和/或控制系统制造商的第三方。因此，只允许某些非保密的数据片从控制系统输送到远程信息处理单元到最终目的地。根据本公开，远程信息处理环境通常包括可通信地与车辆的远程信息处理单元联接的远程信息处理系统。远程信息处理系统被构造为动态地认证车辆的远程信息处理单元和控制系统，并响应于该认证而提供至少一个加密密钥。所述至少一个加密密钥限定了远程信息处理会话的能力(例如，持续时间、传输内容等)，并且确保或基本确保可借由至少一个密钥的加密通过远程信息处理单元发送专有数据。在这方面，专有数据和公共数据都可以被传送到最终目的地(例如，控制系统制造商的远程信息处理云)，而几乎没有被远程信息处理单元或其提供者泄漏数据的风险(例如，访问)。这种安全远程信息处理通信会话可以提供在传统远程信息处理环境中缺少的能力和特征，诸如运行诊断会话的能力、读/写适当数据(例如，工程参数)至控制系统的能力等。本文更全面地描述本公开的这些和其他特征。

现参考图1，根据一实施例示出了远程信息处理环境100的示意图。远程信息处理环境100被构造为经由远程信息处理系统150和一件或多件装备来促进并提供信息或数据交换。在图1的示例中，该装备被示为车辆120，每个车辆包括一个或多个控制系统130。然而，在其他实施例中，该装备可以被配置为固定式应用，例如发电机。在其他实施例中，装备可以包括但不限于公路车辆(例如卡车，公共汽车等)、非公路车辆(例如四轮车和ATV、拖拉机、割草机、雪地汽车等)，轮船(例如船舶、潜艇、船只、游艇、游船等)、施工装备(例如混凝土卡车、手动工具、装载机、吊臂吊杆等)、采矿装备(例如移动式采矿破碎机、推土机、装载机等)、石油和天然气装备(例如钻井装置、推土机、装载机、钻机等)等。因此，本文包含的车辆叙述和描述不意味着进行限制，可以与远程信息处理系统150一起使用其他类型的装备。此外，应该理解的是，前述装备列表并不意味着是限制性的或穷举性的，本公开设想了旨在落入本公开的精神和范围内的其他类型的装备。

如图所示并且一般对该示例实施例来说，远程信息处理环境100包括可通信地联接远程信息处理平台110的远程信息处理系统150，远程信息处理平台110可通信地联接到车辆120的远程信息处理单元125(例如远程信息处理盒、远程信息处理通信单元等)。远程信息处理单元125可通信地联接到车辆120中的控制系统130。如图所示，远程信息处理环境100包括具有多个远程信息处理平台110的多个车辆120。

远程信息处理平台110被构造为远程信息处理单元125的远程支持设备。就这一点而言，远程信息处理平台110可以包括一个或多个服务器、计算机、处理系统等。远程信息处理平台110在网络上与远程信息处理单元125进行通信。网络可以是促进远程信息处理系统150、远程信息处理平台110和远程信息处理单元125之间进行信息交换的任何类型的通信协议。在一个实施例中，网络可以被配置为无线网络。就这一点而言，车辆120可以将数据无线传输到远程信息处理系统150并经由远程信息处理平台110传输到远程信息处理系统150。无线网络可以是任何类型的无线网络，诸如Wi-Fi、WiMax、因特网、无线电、蓝牙、Zigbee、卫星、无线电、蜂窝、全球移动通信系统(GSM)、通用分组无线业务(GPRS)、长期演进(LTE)等。在另一个实施例中，网络可以被配置为有线网络或有线和无线协议的结合。例如，远程信息处理单元125可以经由光纤电缆电联接到网络，以将数据无线地传输到平台110并且最终传输到远程信息处理系统150。

如图所示，远程信息处理环境100包括多个远程信息处理平台110。就此而言，每个远程信息处理单元125可以由独有的或特定的远程信息处理平台110支持。例如，制造商A产生仅可与制造商A特定平台通信联接的远程信息处理单元。因此，每个制造商可以有自己的平台来与自己的远程信息处理单元进行通信。就此而言，远程信息处理系统150被构造为与每个平台110通信以建立与每个特定远程信息处理单元的通信会话。在其他实施例中，远程信息处理单元制造商可仅生产远程信息处理单元并且给予终端客户选择用于远程信息处理单元获取的数据的通信协议和最终目的地的自由支配权。在这种配置中，远程信息处理平台110可以从环境100中排除。

对于每个车辆120，远程信息处理单元125可通信地联接到车辆120的相关联远程信息处理平台110和控制系统130中的每一个。远程信息处理单元125可以被构造为任何类型的远程信息处理控制单元。因此，远程信息处理单元125可以包括但不限于用于跟踪车辆位置(例如，经度和纬度数据，高程数据等)的位置定位系统(例如，全球定位系统)、一个或多个用于存储跟踪数据的存储器设备、用于处理跟踪数据的一个或多个电子处理单元以及用于促进远程信息处理单元125和平台110之间数据交换的通信接口(例如，调制解调器)。在这点上，通信接口可以被配置为任何类型的移动通信接口或协议，包括但不限于Wi-Fi、WiMax、因特网、无线电、蓝牙、Zigbee、卫星、无线电、蜂窝、GSM、GPRS、LTE等。远程信息处理单元125还可以包括用于与车辆120的控制系统130进行通信的通信接口。用于与控制系统130通信的通信接口可以包括任何类型和数量的有线和无线协议(例如，在IEEE 802下的任何标准等)。例如，有线连接可以包括串行电缆、光纤电缆、SAE J1939总线、CAT5电缆或任何其他形式的有线连接。相比之下，无线连接可以包括互联网、Wi-Fi、蓝牙、Zigbee、蜂窝、无线电等。在一个实施例中，包括任何数量的有线和无线连接的控域网(CAN)总线提供控制系统130和远程信息处理单元125之间的信号、信息、和/或数据的交换。在其它实施例中，局域网(LAN)、广域网(WAN)或外部计算机(例如，通过使用互联网服务提供商的互联网)可以提供、促进和支持远程信息处理单元125和控制系统130之间的通信。在另一实施例中，远程信息处理单元125和控制系统130之间的通信经由统一诊断服务(UDS)协议。所有这类变型都旨在落入本公开的精神和范围内。

控制系统130可以包括车辆中包含的任何类型的控制系统，包括但不限于发动机控制模块、动力系控制模块、变速器控制模块、后处理系统控制模块和/或其结合。就此而言，控制系统130可以向车辆120内的一个或多个致动器提供命令和/或指令(例如，喷射燃料的时间和量、排气再循环百分比、涡轮压缩机速度等)。此外，控制系统130还被构造为接收、获取和/或解译来自车辆120中的一个或多个部件的数据。由此，控制系统130可通信地联接到车辆所包括的一个或多个传感器。例如，控制系统130可以分别从发动机速度传感器和发动机扭矩传感器中的每一个接收发动机速度数据和发动机扭矩数据。为了追踪、分区和分析，每条数据可以与数据标识符(DID)(例如，代码、值等)相对应。控制系统130还可以从车载诊断系统(例如，OBD II、OBD I、EOBD、JOBD等)接收数据。由此，控制系统130可以基于车辆120中部件的一个或多个运行特性来接收诊断故障代码(DTC)。DTC可包括故障代码、参数ID等。

考虑到上述内容，可以如下描述环境100的操作。控制系统130从一个或多个车辆120部件接收数据。将数据提供给远程信息处理单元125，远程信息处理单元125将数据提供给远程信息处理平台110。远程信息处理平台110选择性地将数据提供给远程信息处理系统150。从平台110向系统150提供数据可以基于一个或多个协定(例如，合同)等。有利的是，远程信息处理单元125和平台110为车辆120提供移动通信网络，以使得远程信息处理系统150的操作者能够获取数据，否则数据将仅在车辆120被带入数据下载位置(例如，服务中心等)可获得。然而，如上所述，远程信息处理单元125和平台110通常由相对于车辆120的各种部件(例如发动机)的生产商或制造商的第三方操作。因此，因为在一实施例中远程信息处理系统150由车辆120的一个或多个部件(例如发动机或控制系统130)的生产商或制造商操作，所以控制系统130的操作者或生产商无法包括允许将私人数据或专有数据传输到远程信息处理平台110的功能。

根据本公开，远程信息处理系统150可被构造为经由远程信息处理单元125和远程信息处理平台110便于将来自控制系统130的公共数据和私人数据都交换到远程信息处理系统150。短语“私人数据”和“公共数据”应做广义解释并通常指代由控制系统130获取的数据分类。“公共数据”是指任何非机密或非专有数据片，其中机密或专有标志可以由例如车辆120内的控制系统130或其他组件的生产商预设或预定义。相对而言，“私人数据”是指任何机密或专有数据片。因此，公共数据可以包括但不限于预定义的数据点、广播参数，DTC等。私人数据可以包括但不限于工程参数、DID、机器可读代码等。

考虑到以上对远程信息处理系统150的总体描述，示出图2中根据一实施例的远程信息处理系统的示例结构。远程信息处理系统150也可以在本文中被称为控制器并且被示为包括处理电路151,处理电路151包括处理器152和存储器154。处理器152可以被实现为通用处理器、专用集成电路(ASIC)、一个或多个现场可编程门阵列(FPGA)、数字信号处理器(DSP)、一组处理组件、或者其他合适的电子处理组件。一个或多个存储器设备154(例如，RAM、ROM、闪存、硬盘存储器等)可以存储数据和/或计算机代码，以便于本文描述的各种过程。因此，一个或多个存储器设备154可以可通信地联接到处理器152并向处理器152提供计算机代码或指令以执行本文关于远程信息处理系统150描述的过程。此外，一个或多个存储器设备154可以是或包括有形的、非瞬态易失性存储器或非易失性存储器。因此，一个或多个存储器设备154可以包括数据库组件、目标代码组件、脚本组件、或用于支持本文描述的各种活动和信息结构的任何其他类型信息结构。

在一个实施例中，远程信息处理系统150被构造为提供云计算范式的一个或多个服务器(例如，数据和应用程序由远程服务器存储/运行，但由用户或操作者经由网络接口访问)。基于云的系统可以存储大量数据，但如果试图存储在本地计算设备上时，这些数据将被禁止。此外，基于云的实施方式使得远程信息处理系统150的操作者能够从各种地理位置访问数据和/或应用程序，并促进多用户访问。在该配置中，远程信息处理系统150可以包括使(多个)操作者能够控制远程信息处理系统150的一个或多个输入/输出设备。此外，由于该配置，远程信息处理系统150也可以由远程信息处理系统的客户操作。由此，一个或多个输入/输出设备可以包括但不限于计算机、移动电话、移动手表、平板电脑等。

更具体地参考图2，存储器154被示出为包括用于完成本文描述的各活动的各种模块。更具体地，存储器154包括注册模块155、通信会话请求模块156、种子模块157、安全通信模块158和读写模块159。这些模块被配置为通过远程信息处理单元125和远程信息处理平台110建立和保持远程信息处理系统150和控制系统130之间关于一条或多条公共数据和私人数据的安全或加密的双向通信交换。尽管在图2中示出了具有特定功能的各种模块，但应该理解的是，远程信息处理系统150和存储器154可以包括用于完成本文描述的各功能的任意数量的模块。例如，多个模块的活动可以被组合作为单个模块，因为可包括具有附加功能的附加模块等。此外，应该理解的是，远程信息处理系统150可以进一步控制超出本公开范围的其他车辆活动。

本文描述的远程信息处理系统150的某些操作包括解译和/或确定一个或多个参数的操作。如本文所使用的，解译或确定包括通过本领域中已知的任何方法接收各值，包括至少接收来自数据链路或网络通信的值、接收指示值的电子信号(例如，电压、频率、电流或PWM信号)、接收指示值的计算机生成的参数、从非暂时性计算机可读存储介质上的存储位置读取值、通过本领域已知的任何方式、和/或通过接收可以计算解译的参数的值、和/或通过参考被解释为参数值的默认值来接收值作为运行时间参数。

注册模块155被构造为接收和存储关于远程信息处理单元125的注册数据。注册数据可以包括但不限于远程信息处理提供商的身份、发动机序列号(或与特定远程信息处理单元一起使用的(多个)其他车辆部件)、控制系统标识符、远程信息处理单元号、客户编号等。在注册时，注册模块155为每个特定系统注册(即，远程信息处理单元和控制系统、远程信息处理单元和相关联的发动机、远程信息处理单元和相关联的其他车辆部件等)生成记录(例如，文件等)，记录可以存储在存储库(例如，注册数据库等)中。记录还可以包括与注册系统相关联的(多个)特权。关于此，远程信息处理系统150的访问/操作被提供给其客户。这些特权是指(多个)客户购买或以其他方式被允许经由远程信息处理系统150接收/处理的远程信息处理系统150的功能或能力(例如，接收私人数据和私人数据类型的能力、写例程或程序到控制系统130的能力等)。本文关于种子模块157和安全通信模块158将进一步解释该功能。

通信会话请求模块156被构造为向远程信息处理单元125提供学习请求。学习请求启动远程信息处理单元125和控制系统130之间的通信会话(也称为“远程信息处理会话”)。在其他实施例中，学习请求可以来自远程信息处理单元125自身，而不需要来自远程信息处理系统150的提示或指令。学习请求可以包括启动远程信息处理会话的任何类型的提示。

种子模块157被构造为经由远程信息处理单元125从控制系统130接收代码。在一个实施例中，代码被加密，而在另一个实施例中，代码可以未被加密。代码(例如，值等)由控制系统130随机生成和/或对于控制系统130是唯一的。在一个实施例中，代码被构造为加密的或未加密的种子(SEED)(或种(seed))。种子可以具有与在密码学中(更具体地在计算机安全密码术中)使用的种子(例如，种子状态、随机种子等)相关联的任何结构和定义。种子可以包括关于控制系统130的信息(例如，序列号、型号等)，该信息可以用于认证注册单元。

在这方面并且响应于代码的接收，种子模块157被构造为认证代码。认证包括验证代码是否与有效的用户、有效的远程信息处理盒、有效的远程信息处理供应商等相关联。认证可以需要肯定的操作者输入(例如，人类操作者明确确认加密代码是有效的)。在其他实施例中，在种子模块157参考一个或多个数据库(例如，查找表等)以验证代码的情况下，认证可以是自动的。关于注册模块155，种子或代码包括与存储在存储库的记录中的注册信息或数据交叉引用的数据(例如，远程信息处理单元身份应对应于该发动机(或车辆120的其他部件)的注册远程信息处理单元身份)。如果被验证，则从相关联记录中调用该特定客户的相关联特权，其由安全通信模块158使用。

如果通信不能被验证(例如，由于用户缺少注册，或者由于远程信息处理单元被盗并且不与特定发动机对应等)，则远程信息处理系统150可以警告远程信息处理平台110以停止数据交换。远程信息处理系统150还可以向远程信息处理系统150的操作者提供警报以供进一步调查。在这种情况下，操作者可以包括远程信息处理系统150的用户和/或操作者。

基于成功的认证，安全通信模块158生成经由远程信息处理单元125被提供回控制系统130的加密密钥。加密密钥基于与特定记录相对应的各特权(例如，权限、能力等)，该特定记录与注册的控制系统130和远程信息处理单元125相关联。特权可以包括但不限于可以读取和/或写入的受限数据160的类型、诊断能力(例如，经由远程信息处理系统150执行诸如柴油颗粒过滤器再生过程之类的诊断过程的能力等)、远程信息处理会话的持续时间等。在某些实施例中，远程信息处理系统150的用户必须购买或以其他方式被授予某种特权(例如，运行诊断程序的能力可能成本比读取公共数据的能力花费更多等)。在这方面，远程信息处理系统150的不同用户可以具有不同的特权或能力。在一实施例中，可以动态地调整限定的特权或能力(例如，如果期望额外的能力，用户可以在注册后购买额外的功能)。因此，可以响应于远程信息处理系统150的允许用户(或远程信息处理系统150的一部分(a pieceof))的需求动态地改变加密密钥。

如上所述，特权数据限定由安全通信模块158生成的加密密钥。在一实施例中，安全通信模块158被构造为生成并提供第一密钥和第二密钥。第一密钥用于远程信息处理单元125自身保存以在将来的安全通信会话中使用，而另一密钥或第二密钥用于控制系统130。在该配置中，只有远程信息处理系统150和控制系统130知道如何解密第二密钥。在这方面并且仍然在这个示例配置中，第二密钥包含第一密钥信息以及与成功认证相关联的记录所限定的所有(或大部分)特权。在这方面和作为示例，第二密钥可以限定何时停止远程信息处理会话的持续时间。在另一示例中，第二加密密钥提供了(由特权限定)公共数据和私人数据提供给远程信息处理系统150的加密车辆。因此，该加密的第二密钥阻止或基本上阻止远程信息处理提供商检查某些数据，从而该远程信息处理设备经由远程信息处理单元125在远程信息处理系统150和控制系统130之间建立数据的安全且加密的通信信道。

一旦由控制系统130验证加密密钥，建立通过第三方设备(例如，远程信息处理单元125)从控制系统130向远程信息处理系统150提供专有信息交换的远程信息处理会话，其中在本文也被称为专有数据通信信道。有利的是，可以通过远程信息处理单元125发送诸如工程参数、诊断故障码、数据标识符等的专有或私人数据160，而几乎不具有被远程信息处理提供商或黑客实体发现的风险。在这方面，可以大大减少基于包含在私人数据中的工程参数的逆向工程，并且专有数据基本上被确保保持专有。然而，可以检查可能对远程信息处理提供商可用的公共数据162。

基于对应于经验证或认证的控制系统-远程信息处理单元系统的记录中所限定的各特权，读/写模块159被构造为允许、方便或提供给使用者或远程信息处理系统150的用户或其操作者通过远程信息处理环境向控制系统130远程读取和/或写入某些值、命令、数据、信息等的能力。有利地，远程信息处理系统150的用户或操作者可以避免与车辆120和控制系统130的物理交互，以将需要的结构和功能赋予控制系统130。例如，基于所允许的特权，远程信息处理系统150的操作者可以获取与发动机相关的工程参数以对发动机进行远程故障排除。在另一示例中，操作者可以向控制系统130写入诊断过程。在又一示例中，操作者可以读取在特定持续时间内接收到的诊断故障代码以通常对车辆进行故障排除。

因此，注册模块155、通信会话请求模块156、种子模块157和安全通信158提供了远程信息处理单元125的动态认证。根据本公开，种子可随机生成并且响应于通信会话请求，而加密密钥响应于包含在种子中的信息的验证。因此，远程信息处理系统150没有交叉参考控制系统130中的硬编码密钥。如果是这种情况，因为远程信息处理单元125通常作为市场售后增强来安装，安装有控制系统130的远程信息处理单元的识别是未知的。此外，远程信息处理系统150将需要用于每个硬编码密钥的大且复杂的数据库，这将占用大量的存储器。因此，本公开的远程信息处理系统150使用基于远程信息处理单元注册和经由种子学习请求验证的动态认证过程(例如，将种子中包含的信息与来自注册的信息进行交叉引用)。这种类型的动态认证减轻了对硬编码密钥的需求、对于每个远程信息处理单元和控制系统提供了模块化(例如，在每个单元更换或重新安排之后会发生注册和注销)、对于各种远程信息处理单元控制系统配置的认证提供了长期适应性、并且消除或基本上消除了黑客通过获知硬编码密钥访问控制系统的一次黑客过程。

远程信息处理系统150的另一个特征是安全通信模块158被构造成识别远程信息处理单元和一个或多个注册组件之间的不相联(dissociation)。例如，如果远程信息处理单元以特定发动机注册并且在将来某个时间点，远程信息处理单元试图以另一个不同的发动机注册，则安全通信模块158可以向远程信息处理系统150的操作者、第三方控制器等提供警报或通知。该能力可以表示防盗能力和/或触发对注册组件的数据库的更新。试图与未注册的远程信息处理单元和车辆部件建立远程信息处理通信会话的另一个响应可以是自动使加密密钥到期的命令。此外，反向操作也可以触发远程信息处理会话的取消或密钥到期：例如，远程信息处理单元保持安装于车辆，但车辆接收新的控制系统(或另一组件)。因为(多个)新组件先前没有与该特定的远程信息处理单元一起注册，所以安全通信模块158可以提供命令以自动使该密钥到期来终止远程信息处理通信会话。在这方面，相对于完整的远程信息处理单元而被替换的不同组件会触发不同的响应。例如，任何时候更换发动机或排气后处理系统的一部分，则取消密钥。但是，如果更换了空气过滤器(或任何其他视同的组件)，则响应可以是无响应，并且远程信息处理会话继续。尝试与未注册的远程信息处理单元和组件建立远程信息处理通信会话的另一个响应可以是更新注册模块155的注册数据库的选项。例如，可以提供提示以用于确认或不确认特定远程信息处理单元不应该与车辆的特定部件相关联。这种能力可以促进不同部件与特定远程信息处理单元的自动或半自动注册。当然，可以利用一个或多个安全级别来确保或基本上确保特定的远程信息处理单元与一个或多个有效组件(例如，购买的组件等)相关联。如此并且容易理解的是，这里可以采用广泛的可配置性。

远程信息处理系统150的另一个特征包括限定实时期限(例如，3个月等)或运行时间(例如，从远程信息处理单元125传输数据100小时)的到期。也就是说，其他实施例可以包括密钥的到期。该到期可以用作远程信息处理系统150的防黑客特征，因为远程信息处理系统150和环境100的使用存在时间限制。远程信息处理系统150的另一特征包括另一种防黑客能力。例如，如果持续时间是3个月并且人试图反向运行时钟或断开电源以放弃累计时间以获得系统的额外使用，则除了控制系统130使钥匙过期之外，远程信息处理系统150接收通知并且停止数据的传输。在这方面，有防黑客功能。

现在参照图3并结合图1-2，根据一个实施例示出用于远程信息处理通信会话的学习会话的示意图300。在示意图的301处，学习会话请求从远程信息处理系统150被提供至远程信息处理单元125至控制系统130。在示意图的302处，响应于学习会话请求(即远程信息处理通信会话请求)，加密的或在某些实施例中未加密的种子被发送到远程信息处理单元125到远程信息处理系统150。种子包括与控制系统130有关的信息，可由远程信息处理系统150通过与远程信息处理单元125相关联的信息使用该信息，以验证或认证远程信息处理单元125-控制系统130系统。基于成功的验证，远程信息处理系统150产生加密密钥并将其提供给远程信息处理单元125，其转而被传递到控制系统130(示意图的303)。加密密钥与种子中包含的信息相对应并基于种子中包含的该信息。因此，加密密钥限定了控制系统130向远程信息处理单元125提供的各特权(例如，单元与远程信息处理系统150之间的通信持续时间等)。在通过控制系统130验证密钥时，经由远程信息处理单元125可以在远程信息处理系统150和控制系统130之间建立安全通信信道，以允许经由第三方单元(即，远程信息处理单元125)的专有数据的安全传送。

基于上文，图4中示出了根据一个实施例的用于建立安全远程信息处理通信会话的示例方法。由于过程400的操作可以通过远程信息处理系统150的一个或多个模块来实施，所以可以参考图1和2的各组件，以助于描述过程400。

在过程401处，生成与车辆的注册的远程信息处理单元-控制系统相关联的记录。在其他实施例中，注册可以基于远程信息处理单元和发动机组合。在其他实施例中，注册可以基于远程信息处理单元和车辆组合的另一组件组合。所有这些变型都旨在落入本公开的精神和范围内。该记录可以存储在远程信息处理系统的存储库中并用于认证来自远程信息处理系统的未来通信。在过程402处，接收种子。响应于学习请求，可以经由控制系统130生成种子。种子包括与控制系统130相关的识别信息，其可以用于由远程信息处理系统150验证远程信息处理单元-控制系统。响应于种子，远程信息处理系统150生成加密密钥并经由远程信息处理单元125将加密密钥提供给控制系统130(过程403)。在一实施例中，加密密钥包括如上所述的第一密钥和第二密钥。第一钥匙被远程信息处理单元接收，第二钥匙被控制系统130接收，其中第二钥匙包括第一钥匙信息并且限定远程信息处理系统、远程信息处理单元和控制系统的特权或能力(例如，远程信息处理会话的持续时间、提供给远程信息处理系统的数据的类型和频率等)。一旦控制系统130验证加密密钥，在过程404建立安全数据传输协议。

通过远程信息处理单元125在远程信息处理系统150和控制系统130之间建立安全数据传输协议。就这一点而言，不论是专有数据还是公共数据都可以使用加密的第二密钥经由远程信息处理单元125发送，该加密的第二密钥有选择地限制例如远程信息处理单元供应方访问包括在加密的第二密钥中的数据。

在某些实施例中，该方法可以进一步包括基于记录中所限定的特权的读取和/或写入能力。读取和/或写入能力可以允许远程操作者通过远程信息处理环境无线地或远程地对控制系统130的一个或多个功能进行控制。

应该理解，本文中的权利要求要素不应根据35U.S.C.§112第6段的规定来解释。除非使用短语“用于......的工具”明确叙述该要素。

应该注意，本文用于描述各种实施例的术语“示例的”旨在表示这样的实施例是可能的实施例的可能示例、表示和/或说明(并且这类术语不打算暗示这类实施例必须是非凡的或最优的示例)。

示例和非限制性模块实施元件包括提供本文中确定的任何值的传感器、提供本文确定的值的前身的任何值的传感器、包括通信芯片、振荡晶体、通信链路、电缆、双绞线、同轴线、屏蔽线、变送器、接收器和/或收发器的数据链路和/或网络硬件、逻辑电路、硬线逻辑电路、根据模块规范配置的处于特定非暂态状态的可重新配置逻辑电路、包括至少一个电气、液压或气动致动器的任何致动器、螺线管、运算放大器、模拟控制元件(弹簧、滤波器、积分器、加法器、分频器、增益元件)和/或数字控制元件。

上文描述的示意性流程图和方法示意图通常被阐述为逻辑流程图。如此，所描绘的顺序和标记的步骤表明代表性实施例。在功能、逻辑或效果上等同于示意图中所示方法的一个或多个步骤或其部分的其他步骤、顺序和方法可以被设想。

此外，采用的格式和符号被提供来解释示意图的逻辑步骤，并且理解为不限制图中所示方法的范围。尽管在示意图中可以使用各种箭头类型和线型，但是应被理解其并不限制相应方法的范围。事实上，可使用一些箭头或其他连接器仅指示方法的逻辑流程。例如，箭头可以指示所示方法的枚举步骤之间的未指定持续时间的等待或监视时段。此外，特定方法发生的顺序可以严格遵守或不严格遵守所示相应步骤的顺序。还将注意到，框图和/或流程图中的每个框以及框图和/或流程图中各框的组合可以由执行指定功能或动作的基于专用硬件的系统，或专用硬件和程序代码的组合来实施。

本说明书中描述的许多功能单元已被标记为模块，以便更加特别强调它们的实现独立性。例如，模块可以被实现为包括定制VLSI电路或门阵列的硬件电路、诸如逻辑芯片、晶体管的现成半导体或其他分立组件。模块也可以在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等的可编程硬件设备中实现。

模块也可以在机器可读介质中实现以供各种类型的处理器执行。例如，可执行代码的识别模块可以包括计算机指令的一个或多个物理或逻辑块，其可以例如被组织为对象、过程或功能。尽管如此，标识模块的可执行文件不需要在物理上位于一起，而是可以包括存储在不同位置的不同指令，这些指令在逻辑上连接在一起时构成模块并实现模块的所述目的。

实际上，计算机可读程序代码的模块可以是单个指令或许多指令，甚至可以分布在几个不同的代码段上、不同的程序之间，以及几个存储器设备上。类似地，操作数据可以在模块内被识别和示出，并且可以以任何合适的形式体现并且被组织在任何合适类型的数据结构内。操作数据可以作为单个数据集被收集，或者可以分布在包括不同存储设备的不同位置上，并且可以至少部分地、仅作为系统或网络上的电子信号存在。在机器可读介质(或计算机可读介质)中实现模块或模块部分的情况下，可以将计算机可读程序代码存储和/或传播到一个或多个计算机可读介质中。

计算机可读介质可以是存储计算机可读程序代码的有形计算机可读存储介质。计算机可读存储介质可以是例如但不限于电子的、磁的、光学的、电磁的、红外的、全息的、微机械的或半导体系统、装置或设备，或前述的任何适当的组合。

计算机可读介质的更具体例子可以包括但不限于便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、便携式光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)、光存储设备、磁存储设备、全息存储介质、微机械存储设备或任何合适的前述的组合。在本文件的上下文中，计算机可读存储介质可以是任何有形介质，其可以包含和/或存储供指令执行系统、装置或设备使用和/或结合其使用的计算机可读程序代码。

计算机可读介质还可以是计算机可读信号介质。计算机可读信号介质可以包括其中(例如在基带中或者作为载波的一部分)包含有计算机可读程序代码的传播数据信号。这样的传播信号可以采取各种形式中的任何一种，包括但不限于电、电磁、磁、光或其任何适当的组合。计算机可读信号介质可以是不是计算机可读存储介质并可以传送、传播或传输计算机可读程序代码以供指令执行系统、装置或设备使用或与其结合使用的任何计算机可读介质。体现在计算机可读信号介质上的计算机可读程序代码可以使用任何适当的介质来传输，包括但不限于无线、有线、光纤电缆、射频(RF)等或前述的任何合适的组合。

在一个实施例中，计算机可读介质可以包括一个或多个计算机可读存储介质和一个或多个计算机可读信号介质的组合。例如，计算机可读程序代码既可以作为电磁信号通过光纤电缆传播以供处理器执行，也可以存储在RAM存储设备上以供处理器执行。

用于执行本发明各个方面的操作的计算机可读程序代码可以以一种或多种程序设计语言的任意组合来编写，所述程序设计语言包括诸如Java、Smalltalk、C++等的面向对象的程序设计语言和常规的程序性程序设计语言诸如“C”程序设计语言或类似的程序设计语言。计算机可读程序代码可以完全在用户的计算机上、部分在用户的计算机上、作为独立的计算机可读包装、部分在用户的计算机上部分在远程计算机上或者全部在远程计算机或服务器上执行。

程序代码还可以存储在计算机可读介质中，该计算机可读介质可以指导计算机、其他可编程数据处理设备或其他设备以特定方式运行，使得存储在计算机可读介质中的指令产生包括实施在示意性流程图和/或示意性框图的一个或多个方框中指定的功能/动作的指令的制品。

因此，可以在不脱离其精神或基本特征的情况下以其他具体形式来体现本公开。所描述的各实施例在所有方面仅被认为是说明性的而非限制性的。因此，本公开的范围由所附权利要求而不是由前面的描述来指示。在权利要求的等同物的含义和范围内的所有变化都将被包含在其范围内。

Claims (20)

1.一种装置，其特征在于，包括：

注册模块，所述注册模块被构造为接收与一件装备的远程信息处理单元和控制系统相关的注册信息；

种子模块，所述种子模块构造成响应于所述控制系统接收到远程信息处理会话请求而经由所述远程信息处理单元从所述控制系统接收种子，其中所述种子模块被构造为基于包含在所述种子中的信息和所述注册信息来认证所述一件装备的所述远程信息处理单元和所述控制系统；以及

安全通信模块，所述安全通信模块被构造为响应于所述认证而生成加密密钥，并且经由所述远程信息处理单元将所述加密密钥提供给所述控制系统以建立经由所述远程信息处理单元从所述控制系统到所述装置的专有数据通信信道。

2.根据权利要求1所述的装置，其特征在于，所述专有数据被加密并且经由所述远程信息处理单元被发送到所述装置。

3.根据权利要求1所述的装置，其特征在于，所述加密密钥包括第一密钥和第二密钥，其中所述第一密钥仅被提供给所述远程信息处理单元，所述第二密钥被提供给所述控制系统。

4.根据权利要求3所述的装置，其特征在于，所述第二密钥限定与经认证的远程信息处理单元和控制系统相关联的特权。

5.根据权利要求4所述的装置，其特征在于，所述特权包括以下能力中的至少一个：读取至少一个预定义类型的专有数据、在所述控制系统中写入数据、以及执行车辆的诊断过程。

6.根据权利要求3所述的装置，其特征在于，所述第二密钥限定所述远程信息处理会话的持续时间。

7.根据权利要求1所述的装置，其特征在于，所述加密密钥包括到期持续时间，其中，所述到期持续时间限定所述专有数据通信信道的持续时间。

8.根据权利要求1所述的装置，其特征在于，所述一件装备包括以下中的至少一个：发电机；包括公路车辆和非公路车辆中的至少一个的车辆；船舶；一件施工装备；一件采矿装备；以及一件石油和天然气装备。

9.根据权利要求8所述的装置，其特征在于，所述安全通信模块被构造为识别与所述远程信息处理单元相关联的未注册车辆部件，并且作为响应，所述安全通信模块被构造为执行以下中的至少一个：终止所述专有数据通信信道、给所述装置的操作者提供通知，以及更新与所述装置相关联的注册数据库。

10.一种远程信息处理环境，其特征在于，包括：

多个装备件，每个装备件具有控制系统和与所述控制系统可通信联接的远程信息处理单元；以及

控制器，所述控制器可通信地联接到每个装备件的远程信息处理单元，所述控制器被构造为：

接收与每个装备件的远程信息处理单元和控制系统相关的注册信息；

响应于所述多个装备件中的特定装备件的控制系统接收到远程信息处理会话请求，经由远程信息处理单元从控制系统接收种子；

基于包括在所述种子中的信息和所述注册信息来认证所述特定装备件的远程信息处理单元和控制系统；

响应于所述认证而生成加密密钥；以及

通过所述远程信息处理单元将所述加密密钥提供给所述控制系统，以建立通过所述特定装备件的远程信息处理单元从所述控制系统到所述控制器的专有数据通信信道。

11.根据权利要求10所述的远程信息处理环境，其特征在于，所述控制器被构造成为具有已注册的远程信息处理单元的每个装备件生成注册信息的记录的存储库，其中，所述控制器被构造为交叉引用所述存储库中的每一个记录和包含在所述种子中的信息以认证所述特定装备件的远程信息处理单元和控制系统。

12.根据权利要求10所述的远程信息处理环境，其特征在于，所述加密密钥包括第一密钥和第二密钥，其中所述第一密钥仅被提供给所述远程信息处理单元，所述第二密钥被提供给所述特定装备件的控制系统。

13.根据权利要求10所述的远程信息处理环境，其特征在于，所述种子是所述特定装备件的所述控制系统随机生成的以及对于所述特定装备件的所述控制系统是唯一的中的至少一个。

14.一种方法，其特征在于，包括：

由处理电路接收与多个装备件中的每个装备件的远程信息处理单元和控制系统相关的注册信息；

响应于所述多个装备件中的特定装备件的控制系统接收到远程信息处理会话请求，由所述处理电路经由所述多个装备件中的所述特定装备件的远程信息处理单元从所述控制系统接收种子；

由所述处理电路基于所述种子所包括的信息和所述注册信息来认证所述特定装备件的远程信息处理单元和控制系统；

由所述处理电路响应于所述认证而生成加密密钥；以及

由所述处理电路通过所述远程信息处理单元将所述加密密钥提供给所述控制系统，以建立通过所述特定装备件的所述远程信息处理单元从所述控制系统到所述处理电路的专有数据通信信道。

15.根据权利要求14所述的方法，其特征在于，所述加密密钥包括第一密钥和第二密钥，其中所述第一密钥仅被提供给所述远程信息处理单元，所述第二密钥被提供给所述控制系统。

16.根据权利要求14所述的方法，其特征在于，所述第二密钥限定与经认证的远程信息处理单元和控制系统相关联的特权。

17.根据权利要求16所述的方法，其特征在于，所述特权包括以下能力中的至少一个：读取至少一个预定义类型的专有数据、在所述控制系统中写入数据、以及执行车辆的诊断过程。

18.根据权利要求16所述的方法，其特征在于，所述第二密钥限定所述远程信息处理会话的持续时间。

19.根据权利要求14所述的方法，其特征在于，所述加密密钥包括到期持续时间，其中，所述到期持续时间限定所述专有数据通信信道的持续时间。

20.根据权利要求14所述的方法，其特征在于，所述装备件包括以下中的至少一个：发电机；包括公路车辆和非公路车辆中的至少一个的车辆；船舶；一件施工装备；一件采矿装备；以及一件石油和天然气装备。