CN109428716A - 车内组的密钥分配 - Google Patents

Abstract

本公开涉及一种车内组的密钥分配。一种网关包括实现硬件随机数生成器的硬件安全模块(HSM)和维护密钥注入状态表(KIST)的非暂时性存储器。所述网关被配置为：响应于从生产线下线(EOL)工具接收到用于开始密钥分配的触发，将使用硬件随机数生成器生成的密钥分配给多个电子控制单元(ECU)；响应于完成密钥分配，将密钥注入状态表发送到生产线下线工具。响应于通过车辆总线接收到车辆电子控制单元的唯一标识符(UID)，将使用硬件随机数生成器生成的密钥按照加密消息发送到所述电子控制单元。响应于第二加密消息中的来自所述电子控制单元的成功指示，更新密钥注入状态表，以指示所述密钥被应用于所述电子控制单元。

Description

车内组的密钥分配

技术领域

本公开的多个方面涉及在车辆装配期间对车内车载电子控制单元(ECU)的加密密钥的安全分配。

背景技术

对称密钥算法是用于加密的算法，所述算法使用相同的加密密钥来加密明文和解密密文两者。所述密钥可以是相同的，或者可能存在用于在两个密钥之间进行的简单转换。车辆总线是专用的使车辆内部的组件互连的内部通信网络。针对车辆控制的特定要求(诸如，消息传送的保证、非冲突消息的保证、最短传送时间的保证、低成本的保证和EMF噪声弹性的保证以及冗余路由和其它特性的保证)授权使用车辆专用通信协议。随着车辆变得越来越依赖于组件之间的内部通信，组件之间的安全消息传送在车内通信系统的设计和实现上变得更为优先。

发明内容

在一个或更多个说明性实施例中，一种系统包括网关，所述网关包括实现硬件随机数生成器的硬件安全模块(HSM)和保存密钥注入状态表(KIST)的非暂时性存储器，并且被配置为：响应于从生产线下线(EOL)工具接收到用于开始密钥分配的触发，将使用硬件随机数生成器生成的密钥分配给多个电子控制单元(ECU)；响应于完成密钥分配，将密钥注入状态表发送到生产线下线工具。

在一个或更多个说明性实施例中，一种方法包括：响应于通过车辆总线接收到车辆电子控制单元(ECU)的唯一标识符(UID)，将使用硬件随机数生成器生成的密钥按照加密消息发送到所述电子控制单元；响应于第二加密消息中的来自所述电子控制单元的成功指示，更新密钥注入状态表(KIST)，以指示所述密钥被应用于所述电子控制单元。

在一个或更多个说明性实施例中，一种系统包括处理器，所述处理器被配置为：响应于加密响应消息中的来自电子控制单元(ECU)的成功指示，更新密钥注入状态表(KIST)，以指示密钥被应用于电子控制单元，其中，加密响应消息是响应于将使用硬件随机数生成器生成的密钥按照加密请求消息发送到电子控制单元而被接收的。

根据本发明的一个实施例，处理器还被配置为：响应于通过车辆总线接收到车辆电子控制单元(ECU)的唯一标识符(UID)，将加密请求消息发送到所述电子控制单元。

根据本发明的一个实施例，处理器还被配置为：响应于从生产线下线(EOL)工具接收到用于开始密钥分配的触发，将包括所述密钥的多个密钥分配给包括所述电子控制单元的多个电子控制单元(ECU)。

根据本发明的一个实施例，处理器还被配置为：从生产线下线(EOL)工具接收探测命令状态消息，并且响应于完成将密钥分配给包括所述电子控制单元的多个电子控制单元而将密钥注入状态表发送到生产线下线工具。

附图说明

图1示出了用于在车辆的多个ECU之间提供通信的示例系统拓扑；

图2示出了车载远程信息处理协议(OVTP)栈的示例实施方式；

图3示出了用于执行安全密钥分配的示例处理；

图4示出了用于执行安全密钥分配的示例数据流程图。

具体实施方式

根据需要，在此公开了本发明的详细实施例；然而，将理解的是，所公开的实施例仅是本发明的示例，其中，本发明可以以各种形式和替代形式来被实施。附图不必按比例绘制；一些特征可被夸大或最小化以示出特定组件的细节。因此，在此公开的具体结构和功能细节不应被解释为具有限制性，而仅作为用于教导本领域技术人员以多种形式利用本发明的代表性基础。

将对称密钥分配给不同的ECU是确保车辆内的ECU之间的车载通信的先决条件。作为一些示例，这些安全通信可包括针对各种类型的车内网络(诸如，控制器局域网络(CAN)、CAN-FD、以太网等)的消息认证和消息加密。然而，以安全方式分配密钥通常是复杂的任务。基准要求是这种密钥应该针对不同的车辆而被独立地生成。该要求反映了这样的基本原则，即，如果密钥在一个车辆上被破解(compromise)，则破解后的密钥不会影响任何其它车辆的安全性。第二个一般安全要求是生成的密钥应保持一定量的熵。例如，AES-128的密钥应被生成为具有128位的熵。确保足够量的熵需要专用的基于硬件的真随机数生成。

密钥分配可在车辆装配线处被执行，以在制造的车辆中的ECU之间提供安全通信。为此需要满足多种约束(诸如，网络连接、周期时间和车辆制造厂生产过程)。如在此详细地解释的，提出这样的密钥分配协议，所述密钥分配协议在使对现有车辆装配过程的影响最小化的同时满足这些安全目标。

图1示出了用于在车辆102的多个ECU 104之间提供通信的示例系统拓扑100。每个ECU 104连接到多个子网110中的一个。远程信息处理控制单元(TCU)106-A和车辆娱乐控制器106-B被(一起或单独地)配置为经由外部网络和车内网络(未示出)促进车辆102的各种组件与其它车辆102的各种组件和/或移动装置之间的通信。TCU 106-A和娱乐控制器106-B(以下简称为主干控制器106)可连接到系统拓扑100的主干112部分，并且可彼此进行通信和/或与ECU 104进行通信。虽然在图1中示出了示例系统拓扑100，但是所示出的示例组件并不意在限制。实际上，系统拓扑100可具有更多或更少的组件，并且可使用附加或替代的组件和/或实施方式。作为示例，ECU 104和主干控制器106均可连接到一个或更多个与子网110和主干112相同或不同类型的节点。

车辆102可以是例如各种类型的机动车辆(诸如，跨界多功能车辆(CUV)、运动型多功能车辆(SUV)、卡车、休旅车(RV))、船、飞机或者用于运送人或货物的其它移动机器。在许多情况下，车辆102可由内燃发动机驱动。作为另一种可行方式，车辆102可以是由内燃发动机和一个或更多个电动马达两者驱动的混合动力电动车辆(HEV)，诸如，串联式混合动力电动车辆(SHEV)、并联式混合动力电动车辆(PHEV)或并联/串联式混合动力电动汽车(PSHEV)。由于车辆102的类型和配置可以不同，所以车辆的操作特性可以相应地不同。作为一些其它可行方式，车辆102可针对乘客容量、牵引能力和容量以及存储容量而具有不同的能力。

ECU 104可包括各种硬件组件和软件组件，并且可被配置为在车辆102的电池和/或动力传动系统的驱动下监视和管理各种车辆功能。相应地，ECU 104可包括一个或更多个处理器(例如，微处理器)(未示出)，所述一个或更多个处理器被配置为执行存储在ECU 104的一个或更多个存储装置(未示出)上的固件或软件程序。虽然ECU 104被作为单独的组件示出，但是车辆ECU 104可共用物理硬件、固件和/或软件，使得来自多个ECU 104的功能可被集成到单个ECU 104中，并且多个这种ECU 104的功能可被分布在多个ECU 104中。

ECU 104可包括：动力传动系统控制器104-A，被配置为管理与一个或更多个车辆动力源(诸如，发动机、电池等)相关的操作组件；变速器控制器104-B，被配置为管理车辆动力传动系统与车轮之间的动力传递；车身控制器104-C，被配置为管理各种电力控制功能(诸如，外部照明、内部照明、无钥匙进入、远程启动和接入点状态验证)；前照灯控制模块(HCM)104-D，被配置为控制车灯的开/关设置、移动装置或车辆102的其它本地装置、高级驾驶员辅助系统(ADAS)104-E(诸如，自适应巡航控制或自动制动)；气候控制管理控制器104-F，被配置为监视和管理加热系统组件和冷却系统组件(例如，压缩机离合器、鼓风机风扇和温度传感器等)；全球定位系统(GPS)控制器104-G，被配置为提供车辆位置的信息。应注意的是，这些仅是示例，并且车辆102可包括可被使用的更多、更少或不同的ECU 104。

主干控制器106(例如，TCU 106-A和娱乐控制器106-B)均可包括一个或更多个处理器(未示出)(例如，微处理器)，所述一个或更多个处理器被配置为执行存储在TCU 106-A和娱乐控制器106-B的一个或更多个相应存储装置上的固件或软件程序。

TCU 106-A可包括调制解调器或其它网络硬件，以便于车辆102与车辆102外部的一个或更多个网络之间的通信。作为一些非限制性示例，这些外部网络可包括互联网、有线电视分配网络、卫星链路网络、局域网、广域网和电话网络。

娱乐控制器106-B可被配置为支持与车辆乘员的语音命令交互以及与车辆乘员的随身携带装置的局域连接交互。在示例中，娱乐控制器106-B可被配置为经由蓝牙、Wi-Fi和有线USB网络连接中的一种或更多种与随身携带装置进行通信。这些连接可用于便于与被配置为与一个或更多个外部网络进行通信的随身携带装置的数据传输。作为一种可行方式，娱乐控制器106-B可以是由密歇根州迪尔伯恩市的福特汽车公司提供的FORD SYNC系统的控制器。

车辆102可包括网关108。在示例中，网关108可实现智能数据链路连接器(SDLC)的功能。网关108可被配置为便于车辆ECU 104之间的数据交换。网关108还可被配置为便于车辆ECU 104与位于主干112上的一个或更多个主干控制器106之间的数据交换。在示例中，车辆ECU 104和主干控制器106可使用CAN通信协议(诸如，但不限于，高速(HS)CAN、中速(MS)CAN或低速(LS)CAN)与网关108进行通信。不同的子网110可使用不同的CAN协议速度。在示例中，一个或更多个子网可实现HS-CAN，而一个或更多个其它子网110可实现MS-CAN。在另一示例中，网关108可被配置为使用以太网、面向媒体的系统传输(MOST)网络、FlexRay网络或本地互连网络(LIN)中的一个或更多个来便于通信。

一个或更多个子网110可定义主要子网，所述主要子网可被称为主干112。主干112可包括系统拓扑100的一部分，所述系统拓扑100的一部分被配置为充当用于车辆102的其它子网110的通信的连接点。相应地，主干112可被配置为以比经由其它子网110提供的量大的量来对数据通信进行管理和路由。使用网关108的消息处理功能，网关108可被配置为在位于主干112上的主干控制器106与位于其它子网110上的一个或更多个车辆ECU 104之间传送消息帧。

网关108可被配置为确定ECU 104和106中的每一个位于哪个子网110上。该确定可根据ECU 104和106的对应的物理网络地址来被完成。在示例中，响应于接收到用于将消息路由到给定ECU 104和106的请求，网关108可查询存储器以确定与ECU 104和106对应的网络地址。例如，网关108可包括存储器，所述存储器被配置为存储网络地址以及定义哪些消息被路由到哪些子网110和/或主干112的路由方案。该路由可由网关108基于消息中包括的预定义参数(诸如，消息的类型，和/或，指定消息的源和/或目标的ECU 104和106的标识符)来被确定。

使用图1中示出的系统拓扑100，集成密钥分配可在车辆装配厂中进行。这可被称为在车辆运转(VO)阶段执行。集成密钥分配可在同一车辆102上的不同的ECU 104组之间建立信任关系，所述信任关系可使得ECU 104之间的认证通信能够被实现。为了使在转鼓前(preroll)以及在动态和静态的生产线下线(end-of-line，EOL)工位时对VO过程的影响最小化，处理在转鼓前利用简单的诊断请求被启动，并且在钥匙处于点火开关接通位置时在后台运行。

在示例中，EOL工具120可经由车载诊断(OBD)端口或车辆102的消息传送的其它连接而连接到车辆102。因此，所述处理可在静态EOL工位的结束之前被完成，在所述静态EOL工位中，EOL工具120可被用于确认密钥分配已经成功地完成并且请求/记录包括车辆标识码(VIN)与唯一标识符(UID)的配对的密钥注入状态表(KIST)118，以用于下游使用。因此，所述处理几乎不需要与EOL工具120进行交互，并且通过允许网关108在后台使用ECU 104管理所述处理来使周期时间限制的密钥约束最小化。

网关108可执行密钥生成器和分配器的操作。为了支持这些操作，网关108包括硬件安全模块(HSM)114，所述硬件安全模块114包括用于生成安全密钥的真随机数生成器。HSM 114指的是保护和管理用于强认证的数字密钥并且提供加密处理的物理计算装置。真随机数生成器是装置上的硬件组件，所述硬件组件通过物理过程(而不是通过执行计算机算法的步骤)生成随机数。在示例中，HSM 114可利用热噪声或光电效应作为采样器的底层物理现象，以用于生成数值。

每个ECU 104可包括HSM/安全硬件扩展(SHE)116。与上面针对网关108所讨论的类似，HSM/SHE116可以是保护和管理用于强认证的数字密钥并且提供加密处理的物理计算装置。ECU 104可从网关108接收生成的密钥，并且可将所生成的密钥存储到HSM/SHE 116中。相应地，HSM/SHE 116可被配置为防止读取安全密钥的值和未授权写入安全密钥的值。

如下面更详细地解释的，可按照双层协议来执行密钥分配处理。外层可以是车载远程信息处理协议(OVTP)，所述OVTP协议定义网关108如何与其它ECU 104进行通信。内层可以是SHE功能协议，所述SHE功能协议对ECU104主机微控制器如何与ECU104的对应外设装置SHE/HSM116进行通信进行调整，并且对用于ECU 104的安全密钥更新的启用进行排序。

网关108可托管KIST 118。KIST 118可保存指示哪些密钥已经被注入到哪个ECU104上的哪个期望的密钥槽上的状态信息。通过使用KIST 118，EOL系统(诸如，EOL工具120)可对密钥是否被注入到车辆102上的所有期望的ECU 104中的所有期望的密钥槽进行校验。

图2示出了OVTP协议栈202的示例实施方式200。使用示例实施方式200，ECU 104和106可以能够发送和/或接收包括29位消息标识符220的CAN消息。栈202可包括应用编程接口(API)204以及OVTP协议205，OVTP协议205具有多个联网软件层(诸如，但不限于，应用路由206、会话状态机208、功能定义210、消息速率控制212和CAN驱动器214)。

关于CAN，CAN消息帧可包括多个字段(诸如，帧起始(SOF)字段、仲裁字段、控制字段、数据字段、循环冗余校验(CRC)字段以及帧结束(EOF)字段)。仲裁字段可包括CAN消息标识符位串以及定义消息优先级的位。控制字段可包括定义数据字段大小的数据。接收给定消息帧的ECU 104和/或主干控制器106可引用控制字段以确定包括多少数据。数据字段可包括预定义量(诸如，8字节、64字节或任何其它量)的信息。在一些示例中，数据字段也可以是空的(例如，包括0字节的信息)，并且可定义包括用于数据帧的请求的远程帧。数据字段的大小和值的其它可行方式也可被考虑。CRC字段可帮助提供数据完整性，并且EOF字段可向车辆102总线提供消息是完整的通知。

仲裁字段对于特定消息是固定的。每条消息具有唯一消息标识符，但是可通过CAN发送多个相同的消息。在一个示例中，CAN数据库可存储针对特定总线的所有消息的定义。网络上的ECU 104和主干控制器106可被配置为访问CAN数据库，以用于对接收的消息帧进行解码。

仲裁字段的优先级标识符可包括远程传输请求(RTR)位。具有显性状态的RTR位可将给定消息帧指定为数据帧，并且具有隐性状态的RTR位可将给定消息帧指定为远程帧。主干控制器106可向ECU 104发送远程帧，所述远程帧请求与所述远程帧具有相同的消息标识符的数据帧。相应地，网关108可被配置为确定响应于先前发送的远程帧(例如，这样的消息帧，该消息帧的RTR位处于隐性状态并且该消息帧的消息标识符与数据帧的消息标识符相匹配)而发送从源控制器接收的并且用于供目标控制器进行接收的给定数据帧(例如，这样的消息帧，该消息帧的RTR位处于显性状态)。

在一个示例中，给定CAN消息帧的数据字段可以是8字节长，因此可对比短字符串或单个大数字长的发送消息帧进行限制。定义比数据字段大的数据大小的CAN消息可被分割成多个CAN消息帧。各个CAN消息帧可包括在原始CAN消息中的值和位的位置。ECU 104和主干控制器106可被配置为响应于接收到CAN消息帧而查询CAN数据库，以确定CAN消息中的每个帧的位置。

现在更具体地参照OVTP，API 204的多个应用216(通常被示出为元素216-A到216-C)中的每一个可包括被配置为由控制器104和106的处理器(未示出)执行的软件指令。在一个示例中，应用216可被配置为接收由连接到ECU 104和106或与ECU 104和106进行通信的传感器捕获的数据，并且使用包括例如29位消息标识符220的CAN消息将接收的数据发送到ECU 104和106中的另一个。由此，API 204被配置为便于特定于ECU 104和106的应用216与车辆的其它ECU 104和106的应用之间的CAN通信以及与远离车辆102的一个或更多个装置(未示出)的CAN通信。在另一示例中，API 204还可被配置为使用应用安全层218保护传输到应用216的CAN通信数据流以及来自应用216的CAN通信数据流。

利用OVTP协议205的应用216可被配置为发送和接收包括多个字段(诸如，但不限于，SOF字段、仲裁字段、控制字段、数据字段、CRC字段、ACK字段和EOF字段)的CAN消息帧。扩展CAN消息帧的仲裁字段可包括29位消息标识符220，并且可优先考虑尝试发送消息的哪些节点将控制车辆102的总线。

在一个示例中，标识符220可包括源控制器标识符224、目标控制器标识符226、源网络标识符228和优先级标识符230。源控制器标识符224可定义发送消息的ECU 104和106(例如，源ECU 104)，目标ECU标识符226可定义消息所针对的ECU 104和106(例如，目标ECU104)，源网络标识符228可定义源ECU 104所在的源网络。优先级标识符230可相对于车辆102的一个或更多个控制信号定义将给定CAN消息发送到目标ECU 104的优先级。

优先级标识符230可定义例如消息相对于车辆102的诊断消息和控制消息的优先级。作为一个示例，具有显性状态的优先级标识符230可将给定消息帧指定为数据帧，并且具有隐性状态的优先级标识符230可将给定消息帧指定为远程帧。相应地，网关108可被配置为确定给定消息帧是数据帧(例如，其RTR位处于显性状态的消息帧)还是远程帧(例如，其RTR位处于隐性状态的消息帧)。网关108还可被配置为基于优先级标识符230的状态的组合以及对远程帧的对应消息标识符与数据帧的对应消息标识符之间的匹配进行检测，来确定给定数据帧已经响应于先前发送的远程帧而被发送。

作为一些示例，ECU 104的应用216可包括空中下载(OTA)应用、PARSED请求响应应用以及PARSED推送应用，其中，所述OTA应用启用将在该应用下正在被路由的消息解释为OTA软件更新消息并且将该消息路由到控制器104和106的对应的OTA-capable应用；所述PARSED请求响应应用使得每个ECU 104和106能够将在该应用下正在被路由的消息解释为用于有效数据上载消息的处理和报告系统并且将该消息路由到对应的应用以进行处理；所述PARSED推送应用可包括基于内部ECU 104和106事件的数据的传输功能，并且可仅在PARSED应用已经被PARSED应用的请求-响应组件正确地配置时被执行。

源ECU标识符224还可针对OVTP消息定义发起ECU 104和106。在一个示例中，源ECU标识符224可进一步定义存储在由网关108保存的路由表中的ECU标识符。源ECU标识224可允许多个源ECU 104同时与多个目标ECU 104交换消息帧。

目标控制器标识符226可定义OVTP消息所针对的ECU 104和106。在一个示例中，对于在给定ECU 104和106发起的消息，目标ECU标识符226可被定义为正在接收正在被发送的信息的目标ECU 104。在另一示例中，目标ECU标识符226还可被定义存储在路由表208中的ECU标识符。该参数的包括可允许硬件路由数值以受控的方式被应用于软件抽象层。作为一个示例，检测CAN消息的ECU 104和106可引用位于物理层处的目标ECU标识符226，以确定检测到的CAN消息是针对该ECU 104的还是针对另一ECU104的，从而避免了为了确定预期的接收方ECU 104和106而在物理层之上的协议205的层必须处理检测到的CAN消息。

例如，车辆102上的一对ECU 104和106(诸如，ADAS 104-E和TCU 106-A)均可连接到无线网络，并且可被配置为使用CAN消息传输来进行通信。ECU 104和106中的每一个可表示定义唯一网络地址的唯一子网110和/或主干112位置。因此，ECU 104和106可同时发送和接收消息，而不会在网络的物理线路上发生消息传输冲突。这样还可允许添加连接的ECU104和106而无需重新设计架构。

OVTP协议205可使用请求寻址，使得给定ECU 104和106可根据接收的请求(例如，这样的远程帧，所述远程帧包括处于隐性状态的RTR位并且指示针对对应的数据帧的请求，其中，所述对应的数据帧包括处于显性状态的RTR位和相同消息标识符)中包括的一个或更多个预定义参数来解释所述接收的请求。在一个示例中，在ECU栈上定义的协议205可被进一步配置为将请求路由到该请求所针对(或者将处理该请求)的ECU 104和106的特定应用216。

会话状态机208可被配置为拒绝不安全或未被正确加密的请求，以允许ECU 104和106将可用于PARSED推送应用或OTA应用的资源释放给其它应用，这是因为会话未激活。因此，会话状态机208的使用可允许远程地控制车辆102的网络的带宽利用。会话状态机208的使用可进一步提供握手要求，使得服务器可确认客户端是唤醒的并且准备接收数据。

功能定义210可定义由采用29位消息标识符220的各种方案使用的功能。例如，但不限于，空中下载(OTA)更新具有定义的可用的功能集，并且这些功能定义位可引用与消息相关联的功能。消息速率控制部分212可被配置为对定义给定OVTP消息的一个或更多个CAN帧可被传输的传输速度进行控制。相应地，消息速率控制部分212可对将在给定传输期间使用的最大带宽进行控制。

由网关108接收的给定数据消息可相应地包括源控制器标识符224(例如，29位消息标识符220中的10位)、目标ECU标识符226(例如，29位消息标识符220中的10位)和优先级标识符230(例如，29位消息标识符220中的3位)。OVTP协议205还可包括被配置为执行CAN消息处理的CAN驱动器214，从而允许ECU 104和106发送和接收CAN消息以及将CAN消息推送到车辆102的CAN总线上。

如在某些情况下，寻址组件可被设计为逻辑构造(而不是被硬编码)，并且可便于使用10个源位和全部20个源/目标位。这样可允许应用在没有冲突的情况下在整个网络上提供ECU 104和106消息的基于网格的联网。这还可利用CAN协议205设计相对于其它网络的物理层，所述物理层可允许多个发送器和接收器位于相同物理线路上。检测CAN消息的控制器104和106可引用位于所述物理层的目标控制器标识符226，以确定检测到的CAN消息是针对该ECU104和106还是针对另一个ECU104和106的，从而避免了在物理层之上的协议层必须处理检测到的针对另一ECU104和106的CAN消息。

图3示出了用于执行安全密钥分配的示例处理300。在示例中，处理300可使用上面详细地讨论的系统拓扑100和OVTP协议205来被执行。

在阶段1，参照任务A1，EOL测试器工具可触发密钥分配协议。在示例中，该触发可在转鼓前进行，其中，EOL测试器工具向网关108发送诊断请求。在任务A2，响应于接收到所述请求，网关108调用HSM 114的真随机数生成器功能，并且使用所生成的随机序列来创建密钥K。

在阶段2，参照任务B1，网关108发起密钥分配协议，并且发送OVTP消息以请求在预定义组中的下游ECU 104上的HSM/SHE 116的UID，以用于接收密钥。在任务B2，下游ECU 104对OVTP消息进行解包，并且使用SHE协议将UID请求转发到下游ECU 104的外设装置HSM/SHE116。

在阶段3，参照任务B3，网关108对来自ECU 104的UID进行解包。参照任务C1，在从ECU 104接收到UID之后，网关108使用SHE存储器更新协议来准备M1、M2和M3(或者简称M123)的序列。M123是包括ECU 104的UID、目标密钥槽索引和授权密钥槽索引、密钥K的加密副本以及所有这些项的消息认证码的序列。M123允许ECU 104以安全的方式将密钥槽更新为密钥K的值。在任务C2，网关108将序列封装成OVTP请求消息，并且将所述序列发送到目标ECU 104。

在阶段4，参照任务C4，目标ECU 104的HSM/SHE 116对序列M123进行验证。如果验证成功，则HSM/SHE 116返回使用新密钥K计算的验证序列M45。在任务C5，目标ECU 104将序列M45封装成OVTP响应，并且将封装的序列M45发送回到网关108。

在阶段5，参照任务C6，网关108在对OVTP进行解包之后对响应消息M45进行验证。如果序列是成功的，则网关108确认密钥K已被成功地注入在期望的ECU 104上的期望的密钥槽中。相应地，在任务C7，网关108更新KIST 118以指示密钥K的成功传送。

在阶段6，参照任务D1，网关108还重复执行阶段2至阶段5，直到所有密钥已被正确地注入为止。当密钥注入已被完成时，EOL工具120可读取出VIN-UID映射和KIST 118，以确认哪个车辆102具有哪些ECU 104并且再次检查密钥注入是否已被成功地完成。

图4示出了用于执行安全密钥分配的示例数据流程图400。在示例中，数据流程图400可使用上面详细地讨论的系统拓扑100和OVTP协议205根据处理300来操作。

在操作L0，EOL工具120根据任务A1对密钥分配进行授权。响应于所述授权，网关108执行任务A2和B1。响应于完成任务A2和B1，EOL工具120发送对所述授权的确认，在操作L1，所述确认由EOL工具120接收。

在操作L2，网关108向目标ECU 104发送OVTP UID请求。响应于接收到所述请求，ECU 104执行任务B2。响应于完成任务B2，ECU 104发送OVTP响应，在操作L3，所述OVTP响应由网关108接收。响应于接收到所述响应，网关108执行任务B3、C1和C2。

在操作L4，网关108向目标ECU 104发送OVTP密钥更新请求。响应于接收到所述请求，ECU 104执行任务C4和C5。响应于完成任务C4和C5，ECU 104发送OVTP密钥更新响应，在操作L5，所述OVTP密钥更新响应由网关108接收。响应于接收到所述响应，网关108执行任务C6和C7。

值得注意的是，针对示出的任务D1，操作L2、L3、L4和L5可针对每个目标ECU 104被重复执行以接收密钥。应注意的是，在一些示例中，对ECU 104的密钥分配可被顺序地执行，一次执行对一个ECU 104的密钥分配。然而，在其它示例中，对ECU 104的密钥分配可重叠发生，使得一些ECU 104正在执行处理300的特定任务，与此同时其它ECU 104正在执行处理300的任务。

在操作L6，EOL工具120向网关108发送状态探测命令(ping)。响应于所述状态探测命令，网关108执行任务E1和F1。响应于完成任务A2和B1，在操作L7，网关108将完成的响应消息发送到EOL工具120。

在操作L8，EOL工具120向网关108发送VIN-UID KIST 118请求。响应于所述请求，网关108将KIST 118发送到EOL工具120，在操作L9，所述KIST 118被EOL工具120接收。EOL工具120可相应地对KIST 118进行分析，并且确保对ECU 104的安全密钥分配被成功地执行。

因此，通过使用系统拓扑100、OVTP协议205、处理300和数据流程400，攻击者无法在密钥生成期间读取网关108上的密钥，或者无法在密钥被接收和更新时读取下游ECU 104上的密钥。此外，当密钥通过CAN/CAN-FD/以太网/等正在被传输时，攻击者也无法获知密钥。另外，密钥可保存防止攻击者尝试对密钥空间进行穷举搜索的128位熵。此外，攻击者也无法将密钥写入下游ECU 104中。

在此描述的诸如ECU 104、主干控制器106、网关108和EOL工具120的计算装置总体上包括计算机可执行指令，其中，所述计算机可执行指令可由诸如以上列出的那些计算装置中的一个或更多个计算装置来执行。计算机可执行指令可从使用各种编程语言和/或技术创建的计算机程序被编译或解释，所述编程语言和/或技术包括但不限于以下项中的单独一个或它们的组合：Java^TM、C、C++、C#、Visual Basic、Java Script、Python、Perl、PL/SQL等。一般地，处理器(例如，微处理器)从例如内存、计算机可读介质等接收指令，并且执行这些指令，从而执行一个或更多个处理，所述一个或更多个处理包括在此描述的处理中的一个或更多个。可使用各种计算机可读介质来存储和传输这种指令和其它数据。

对于在此描述的处理、系统、方法、启示等，应理解的是，虽然这些处理的步骤等已被描述为根据特定有序的顺序发生，但是可利用以在此描述的顺序之外的顺序执行的所述步骤来实施这些处理。还应理解的是，可同时执行特定步骤，可添加其它步骤，或者，可省略在此描述的特定步骤。换言之，在此对处理的描述针对示出特定实施例的目的而被提供，并且不应以任何方式被解释为限制权利要求。

相应地，应理解的是，上面的描述意在为示意性的而非限制性的。当阅读上面的描述时，提供的示例之外的许多实施例和应用会是明显的。范围不应参考上面的描述来确定，而应参考权利要求以及这些权利要求所要求保护的等同物的全部范围来确定。可以预期和计划的是，未来发展将发生在在此描述的技术中，并且所公开的系统和方法将被合并到这种未来的实施例中。总之，应理解的是，本申请能够进行修改和变型。

除非在此做出了明确的相反指示，否则权利要求中使用的所有术语意在被赋予在此描述的技术的技术人员所理解的它们最广义的合理解释以及它们的普遍含义。具体来讲，除非权利要求描述了明确的相反限制，否则诸如“一种”、“所述”、“该”等的单数冠词的使用应被理解为描述一个或更多个指示的元素。

提供本公开的说明书摘要以允许读者快速地确定技术公开的实质。提交本公开的说明书摘要，应该理解的是，说明书摘要将不会被用于解释或限制权利要求的范围或含义。此外，在前述的具体实施方式中，可以看出，出于简化本公开的目的，多个特征在多个实施例中被组合在一起。本公开的方法将不会被解释为反映意图在于要求保护的实施例需要比在每个权利要求中清楚地记载的特征更多的特征。更确切地，如权利要求反映的，发明的主题在于少于单个公开的实施例的所有特征。因此，权利要求在此被包含在具体实施方式中，其中，每个权利要求作为单独要求保护的主题而独立存在。

虽然以上描述了示例性实施例，但这些实施例并不意在描述本发明的所有的可能形式。更确切地说，说明书中所使用的词语是描述性词语而非限制性词语，并且应理解的是，可在不脱离本发明的精神和范围的情况下做出各种改变。此外，可将各种实现的实施例的特征进行组合以形成本发明的进一步的实施例。

Claims (13)

1.一种系统，包括：

网关，包括实现硬件随机数生成器的硬件安全模块(HSM)和保存密钥注入状态表(KIST)的非暂时性存储器，并且被配置为：

响应于从生产线下线(EOL)工具接收到用于开始密钥分配的触发，将使用硬件随机数生成器生成的密钥分配给多个电子控制单元(ECU)；

响应于完成密钥分配，将密钥注入状态表发送到生产线下线工具。

2.根据权利要求1所述的系统，其中，网关还被配置为：响应于从所述多个电子控制单元中的一个电子控制单元接收到所述密钥中的一个密钥已被成功地注入到所述多个电子控制单元中的所述一个电子控制单元的密钥槽中的确认，更新密钥注入状态表。

3.如权利要求1所述的系统，其中，网关还被配置为：

请求所述多个电子控制单元中的一个电子控制单元的唯一标识符(UID)；

使用硬件随机数生成器针对所述唯一标识符生成密钥；

将所述密钥发送到所述多个电子控制单元中的所述一个电子控制单元；

更新密钥注入状态表，以指示所述密钥被发送到所述多个电子控制单元中的所述一个电子控制单元的唯一标识符。

4.如权利要求1所述的系统，其中，网关还被配置为利用包括以下项的M123序列将密钥发送到所述多个电子控制单元中的一个电子控制单元：(i)所述多个电子控制单元中的所述一个电子控制单元的唯一标识符、(ii)所述多个电子控制单元中的所述一个电子控制单元的将要放置所述密钥的目标密钥槽的索引以及(iii)所述密钥的加密副本。

5.如权利要求4所述的系统，其中，网关还被配置为：响应于所述M123序列，接收M45响应，所述M45响应包括使用将被放置的密钥计算的所述密钥的放置的验证。

6.如权利要求1所述的系统，其中，网关还被配置为：响应于从生产线下线工具接收到密钥注入状态表请求消息，发送密钥注入状态表。

7.一种方法，包括：

响应于通过车辆总线接收到车辆电子控制单元(ECU)的唯一标识符(UID)，将使用硬件随机数生成器生成的密钥按照加密消息发送到所述电子控制单元；

响应于第二加密消息中的来自所述电子控制单元的成功指示，更新密钥注入状态表(KIST)，以指示所述密钥被应用于所述电子控制单元。

8.如权利要求7所述的方法，还包括：

通过车辆总线请求第二电子控制单元的第二唯一标识符(UID)；

使用硬件随机数生成器生成第二密钥；

将第二密钥按照第三加密消息发送到第二电子控制单元；

响应于第四加密消息中的来自第二电子控制单元的成功指示，更新密钥注入状态表，以指示第二密钥被应用于第二电子控制单元。

9.如权利要求8所述的方法，还包括：

从生产线下线(EOL)工具接收探测命令状态消息；

响应于完成对所述电子控制单元和第二电子控制单元的密钥分配，将密钥注入状态表发送到生产线下线工具。

10.如权利要求7所述的方法，还包括：

响应于从生产线下线工具接收到授权消息，启动对所述电子控制单元的密钥分配。

11.如权利要求7所述的方法，还包括：

在加密消息中包括以下项：(i)所述电子控制单元的唯一标识符；(ii)将要放置密钥的所述电子控制单元的目标密钥槽的索引；以及(iii)密钥的加密副本。

12.如权利要求11所述的方法，还包括：

接收第二加密消息中的使用将被放置的密钥计算的所述密钥的放置的验证。

13.如权利要求7所述的方法，还包括：

从所述电子控制单元请求唯一标识符(UID)。