CN114844624A - 在组装期间将命令安全地传输到车辆 - Google Patents
在组装期间将命令安全地传输到车辆 Download PDFInfo
- Publication number
- CN114844624A CN114844624A CN202210108659.3A CN202210108659A CN114844624A CN 114844624 A CN114844624 A CN 114844624A CN 202210108659 A CN202210108659 A CN 202210108659A CN 114844624 A CN114844624 A CN 114844624A
- Authority
- CN
- China
- Prior art keywords
- digital signature
- server
- vehicle
- computer
- control module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title description 3
- 238000000034 method Methods 0.000 claims description 56
- 238000012795 verification Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 44
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 241000196324 Embryophyta Species 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 240000005020 Acaciella glauca Species 0.000 description 1
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 241000863732 Ludisia Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 235000003499 redwood Nutrition 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Selective Calling Equipment (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了“在组装期间将命令安全地传输到车辆”。一种系统包括控制模块和本地服务器。服务器被编程为将执行操作的命令传输到多个车辆,所述多个车辆包括包括控制模块的车辆。所述命令包括跨车辆共用的数字签名。控制模块被编程为:接收临时值;接收命令;用临时值对命令中的数字签名进行解密;在验证解密的数字签名后,执行操作;并且在度量递增到阈值后,阻止用临时值对数字签名进行解密。
Description
技术领域
本公开涉及车辆组装,并且更具体地涉及在组装期间将命令安全地传输到车辆。
背景技术
对称密钥算法是使用相同的加密密钥来对未加密数据进行加密和对加密数据进行解密的密码算法。对称密钥算法可以使用流密码或分组密码。流密码对消息的字符逐个地加密。分组密码在填充明文的同时对位块进行加密。分组加密的示例是美国国家标准与技术研究所颁布的高级加密标准算法。车辆可以使用对称密钥来在车辆上的控制模块之间进行通信。可以在生产线末端组装车辆期间将一组初始对称密钥分发给控制模块。
发明内容
一种系统包括控制模块和服务器。服务器被编程为将执行操作的命令传输到多个车辆,所述多个车辆包括包括控制模块的车辆。命令包括跨车辆共用的数字签名。控制模块被编程为:接收临时值;接收命令;用临时值对命令中的数字签名进行解密;在验证解密的数字签名后,执行操作;并且在度量递增到阈值后,阻止用临时值对数字签名进行解密。
服务器可以是本地服务器,并且系统还可以包括可信服务器,所述可信服务器被编程为基于临时值生成数字签名并将数字签名传输到本地服务器。
临时值可以存储在服务器上。
控制模块还可以被编程为接收对控制模块是唯一的公钥-私钥对。公钥-私钥对的私钥可以不存储在服务器上。
公钥-私钥对的公钥可以不存储在服务器上。
一种计算机包括处理器和存储器,所述存储器存储指令,所述指令可由处理器执行以接收对计算机是唯一的公钥-私钥对;接收跨包括所述计算机的多个计算机共用的临时值;接收执行操作的命令,所述命令包括数字签名;用临时值对数字签名进行解密;在验证解密的数字签名后,执行操作;并且在度量递增到阈值后,阻止用临时值对数字签名进行解密。
度量可以是包括计算机的车辆的里程数。
度量可以是包括计算机的车辆的起动次数。
度量可以是接收命令的次数。
命令可以是将多个对称密钥分发给包括计算机的车辆中的多个控制模块。
指令可以包括用于在解密的数字签名验证失败后阻止执行操作的指令。
一种方法包括:通过控制模块接收临时值;通过服务器将命令传输到多个车辆,所述多个车辆包括包括控制模块的第一车辆,所述命令是执行操作,所述命令包括跨车辆共用的数字签名;由控制模块用临时值对命令中的数字签名进行解密;在验证解密的数字签名后,由控制模块执行操作;以及在度量递增到阈值后,阻止控制模块用临时值对数字签名进行解密。
当向车辆进行传输时,服务器可以与车辆处于同一位置。服务器可以是本地服务器,并且方法还可以包括可信服务器基于临时值来生成数字签名,可信服务器远离所述位置;以及由可信服务器将数字签名传输到本地服务器。
阈值可以足够大以使第一车辆在度量递增到阈值之前离开所述位置。所述位置可以是车辆的组装厂。
附图说明
图1是组装具有控制模块的车辆所涉及的设施的示例的图示。
图2是车辆中的一个的示例的框图。
图3是车辆中的一个的控制模块在安全地接收到命令后执行操作的示例性过程的过程流程图。
图4是可信服务器为本地服务器生成数字签名的示例性过程的过程流程图。
图5是本地服务器使用数字签名来将命令传输到车辆的示例性过程的过程流程图。
具体实施方式
在车辆100的组装期间,在已经安装了控制模块102、104之后,可能需要对车辆100上的那些控制模块102、104执行各种安全相关操作,例如,将对称密钥分发给控制模块102、104;对控制模块102、104进行配置等。这些操作可以在生产线末端执行,即,在车辆100的部件已经组装之后并且在车辆100被运送到经销商或消费者之前执行。因此,车辆100准备好在交付时操作。如果这些操作只能由可信方(例如,仅由制造商)授权,则这些操作将更安全,这防止了在车辆100离开指定位置(诸如组装厂)后第三方执行操作时可能发生的对控制模块102、104的未授权访问。
参考附图,系统101包括控制模块102、104和本地服务器106。本地服务器106被编程为将执行操作的命令传输到多个车辆100,所述多个车辆包括包括控制模块102、104的车辆100。命令包括跨车辆100共用的数字签名。控制模块102、104被编程为:接收临时值;接收命令;用临时值对命令中的数字签名进行解密;在验证解密的数字签名后,执行操作;并且在度量递增到阈值后,阻止用临时值对数字签名进行解密。
通过向控制模块102、104提供临时值来对命令中的数字签名进行解密,系统101允许将相同的数字签名用于若干车辆100。数字签名可以存储在位于与车辆100相同的位置(例如,组装厂)内的本地服务器106处,并且所述本地服务器106可以用于授权控制模块102、104执行操作。有利地,本地服务器106不需要存储特定于控制模块102、104的数据,诸如控制模块102、104的公钥或私钥。特定于控制模块102、104的数据可以存储在位于远离车辆100的位置处的可信服务器108处。因为在车辆100的组装期间不需要访问可信服务器108,所以与可信服务器108的连接的缺乏不会阻止例如在车辆100的组装期间的安全相关操作,并且可信服务器108上的信息可以保存在更安全的位置。
跟踪车辆100的度量提供了一种能够在诸如组装厂的位置使用临时值但在车辆100离开该位置之后不久禁用临时值的方式。示例性度量包括车辆100的里程数、车辆100的起动次数以及车辆100接收到命令的次数。
参考图1,车辆100的制造过程可以包括制造控制模块102、104的第一位置110、可信服务器108所在的第二位置112以及组装车辆100的第三位置114。第一位置110是制造(例如,组装)控制模块102、104的位置。控制模块102、104可以在第一位置110处首次联机。
第一位置110可以包括第一位置服务器116。第一位置服务器116是基于微处理器的计算装置,例如,通用计算装置(包括处理器和存储器、电子控制器等)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等。因此,第一位置服务器116可以包括处理器、存储器等。第一位置服务器116的存储器包括用于存储可由处理器执行的指令以及用于电子存储数据和/或数据库的介质,和/或第一位置服务器116可以包括诸如提供编程的前述结构之类的结构。第一位置服务器116可以是耦合在一起的多个计算机。当控制模块102、104处于第一位置110时,第一位置服务器116可以与控制模块102、104通信,并且第一位置服务器116可以通过网络118(诸如广域网和/或因特网)进行通信。
第二位置112可以是可信服务器108的安全位置。第二位置112与第一位置110和第三位置114物理地分开,使得可信服务器108远离第一位置110和第三位置114。
可信服务器108是基于微处理器的计算装置,例如,通用计算装置(包括处理器和存储器、电子控制器等)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等。因此,可信服务器108可以包括处理器、存储器等。可信服务器108的存储器可以包括用于存储可由处理器执行的指令以及用于电子存储数据和/或数据库的介质,和/或可信服务器108可以包括诸如提供编程的前述结构之类的结构。可信服务器108可以是耦合在一起的多个计算机。可信服务器108可以通过网络118进行通信。
第三位置114可以是指定位置,诸如车辆100的组装厂。第三位置114可以从供应商和制造商接收用于车辆100的部件,例如,从第一位置110接收控制模块102、104。控制模块102、104可以从第一位置110运送到第三位置114。在第三位置114处,部件被组装到车辆100中。在组装过程期间,控制模块102、104安装在车辆100中。如下所述,一旦安装了控制模块102、104,本地服务器106就可以在车辆100与本地服务器106处于第三位置114时向车辆100中的控制模块102、104进行传输。
本地服务器106是基于微处理器的计算装置,例如,通用计算装置(包括处理器和存储器、电子控制器等)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等。因此,本地服务器106可以包括处理器、存储器等。本地服务器106的存储器可以包括用于存储可由处理器执行的指令以及用于电子存储数据和/或数据库的介质,和/或本地服务器106可以包括诸如提供编程的前述结构之类的结构。本地服务器106可以是耦合在一起的多个计算机。
参考图2,在第三位置114处组装的车辆100中的一个可以是任何合适类型的汽车,例如乘用车或商用车,诸如四门轿车、双门小轿车、卡车、运动型多用途车、跨界车、厢式货车、小型货车、出租车、公共汽车等。例如,车辆100可以是自主车辆。换句话说,车辆100可以是自主操作的,使得车辆100可以在没有驾驶员持续关注的情况下被驾驶,即,车辆100可以在没有人类输入的情况下自动驾驶。
车辆100包括多个控制模块102、104。控制模块102、104包括第一控制模块102和至少一个第二控制模块104。如下所述,第一控制模块102可以负责将对称密钥分发给第二控制模块104。
控制模块102、104是基于微处理器的计算装置,例如,通用计算装置(各自包括处理器和存储器、电子控制器等)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等。因此,控制模块102、104可以包括处理器、存储器等。控制模块102、104的存储器可以包括用于存储可由处理器执行的指令以及用于电子存储数据和/或数据库的介质,和/或控制模块102、104可以包括诸如提供编程的前述结构之类的结构。第一控制模块102可以是例如网关模块。第二控制模块104可以包括例如约束控制模块、动力传动系统控制模块等。
第一控制模块102可以通过诸如控制器局域网(CAN)总线、以太网、WiFi、局域互连网(LIN)、车载诊断连接器(OBD-II)的通信网络120和/或通过任何其他有线或无线通信网络来传输和接收数据。第一控制模块102可以经由通信网络120通信地耦合到第二控制模块104、收发器122和其他部件。
收发器122可以适于通过任何合适的无线通信协议(诸如蜂窝、
低功耗(BLE)、超宽带(UWB)、WiFi、IEEE802.11a/b/g/p、蜂窝-V2X(CV2X)、专用短程通信(DSRC)、其他RF(射频)通信等)无线地传输信号。收发器122可以适于与远程服务器(即,与车辆100不同且间隔开的服务器)通信。远程服务器可以位于车辆100的外部。例如,一旦车辆100被组装,远程服务器就可以与以下项相关联:另一车辆100(例如,V2V通信)、基础设施部件(例如,V2I通信)、紧急响应器、与车辆100的所有者相关联的移动装置等。当车辆100处于第三位置114时,远程服务器可以是本地服务器106。收发器122可以是一个装置,或者可以包括单独的发射器和接收器。
图3是示出第一控制模块102基于来自本地服务器106的命令执行操作的示例性过程300的过程流程图。第一控制模块102的存储器存储用于执行过程300的步骤的可执行指令和/或可以以诸如上述的结构来实施编程。作为过程300的总体概述,当在第一位置110时,第一控制模块102接收对第一控制模块102是唯一的公钥-私钥对和跨许多同时制造的第一控制模块102共用的临时值,并且第一控制模块102对其序列号和其公钥-私钥对的公钥进行加密并将它们传输到可信服务器108。在第一控制模块102已经被运送到第三位置114并安装在车辆100中之后,第一控制模块102从本地服务器106接收包括数字签名的命令。出于本公开的目的,“数字签名”是用私钥加密并且可用对应的公钥解密以认证其中出现数据的消息的数据;在这种情况下,私钥是临时私钥,并且公钥是临时值。如下面关于过程400所描述的,可信服务器108将从临时值生成数字签名并将数字签名传输到本地服务器106。如果第一控制模块102对数字签名的验证失败,则第一控制模块102阻止执行操作。在验证数字签名后,第一控制模块102执行操作。当车辆100在第三位置114并且然后离开第一位置110时,第一控制模块102在发生事件后使计数器递增。一旦计数器达到阈值,第一控制模块102就禁用临时值,从而阻止将来用临时值对数字签名进行解密。
过程300始于框305中,其中第一控制模块102接收公钥-私钥对、可信服务器108的可信服务器公钥以及临时值。当第一控制模块102仍然在第一位置110时,第一控制模块102执行框305。公钥-私钥对包括第一控制模块102的公钥和与第一控制模块102的公钥相对应的第一控制模块102的私钥。公钥-私钥对对每个第一控制模块102是唯一的;换句话说,公钥和对应的私钥两者对每个第一控制模块102都是唯一的。可信服务器公钥是可以用于将加密消息发送到可信服务器108的公钥,所述可信服务器可以使用仅存储在可信服务器108上的对应的可信服务器私钥来对消息进行解密。临时值是可以用于对包括在命令中的数字签名进行解密的值,如下面关于框315所描述的。例如,临时值可以是临时公钥,其对应的临时私钥已经提供给可信服务器108。第一位置服务器116可以生成临时值和对应的临时私钥并将临时私钥递送到可信服务器108(例如,通过物理地发送存储临时私钥的存储驱动器),或者可信服务器108可以生成临时值和临时私钥并将临时值传输到第一位置服务器116。临时值跨多个第一控制模块102共用,即,多个第一控制模块102中的每一个接收相同的临时值。接收临时值的多个第一控制模块102可以是例如整个制造批次或在某个时间范围(例如,六个月或一年)内制造的所有第一控制模块102。
接下来,在框310中,第一控制模块102对其序列号和其公钥-私钥对的公钥进行加密并将它们发送到可信服务器108。第一控制模块102使用可信服务器公钥进行加密。第一控制模块102可以经由第一位置服务器116和网络118将加密数据传输到可信服务器108。
接下来,在框315中,在第一控制模块102已经被运送到第三位置114并安装在车辆100中之后,第一控制模块102从本地服务器106接收命令。所述命令包括数字签名和用于执行操作的未加密指令。如下面关于过程400所描述的,可信服务器108例如从对应于临时值的临时私钥生成数字签名并将数字签名传输到本地服务器106。数字签名可以是用临时私钥加密的命令或要包括在所述命令中的消息。如下面关于过程500所述,本地服务器106接收数字签名并将具有相同数字签名的命令传输到多个车辆100。在接收到命令后,第一控制模块102通过使用临时值来对命令中的数字签名进行解密。
接下来,在决策框320中,第一控制模块102确定解密的数字签名是否得到验证。例如,第一控制模块102确定解密的数字签名是否与命令的未加密部分匹配或与命令所包括的未加密消息匹配。在解密的数字签名验证失败时,过程300前进到框325。在验证数字签名后,过程300前进到框330。
在框325中,第一控制模块102阻止执行命令中的操作。第一控制模块102例如通过设置诸如诊断故障代码(DTC)等的故障代码来报告错误。第三位置114处的技术人员可以使用故障代码来评估问题。在框325之后,过程300结束。
在可以在决策框320之后的框330中,第一控制模块102执行命令中的操作。操作可以是安全相关类型的操作。例如,操作可以是将多个对称密钥分发给车辆100中的第二控制模块104。又例如,操作可以是设置第二控制模块104的某些配置。
接下来,在决策框335中,第一控制模块102确定按照度量测量的事件是否已经发生。度量被选择为随着车辆100的连续使用而增加并且不随时间减少的可测量的量。例如,度量可以是车辆100的里程数、车辆100的起动次数、在框315中接收到命令的次数等。车辆100的起动次数是车辆100从关闭状态切换到开启状态的次数,例如钥匙点火的次数。如果按照度量跟踪的事件尚未发生,则过程300停留在决策框335处以等待事件发生。如果按照度量跟踪的事件已经发生,则过程300前进到框340。
在框340中,第一控制模块102根据事件递增度量。例如,如果车辆100已经行驶了五英里,则里程数增加五。又例如,如果车辆100刚刚起动,则起动次数增加一。又例如,如果已经在框315中接收到命令,则接收到命令的次数增加一。这些度量中的任何一个都可以由例如第二控制模块104中的一个跟踪并通过通信网络120报告给第一控制模块102。
接下来,在决策框345中,第一控制模块102确定度量是否已经递增到阈值。阈值被选择为足够大以使车辆100在度量递增到阈值之前离开第三位置114,并且阈值被选择为在车辆100离开第三位置114之后不久达到。例如,里程数的阈值可以是五十英里,起动次数的阈值可以是一百,或者接收到命令的次数的阈值可以是两次。如果度量尚未递增到阈值,则过程300返回到决策框335以继续监测事件。在度量递增到阈值时,过程300前进到框350。
在框350中,第一控制模块102禁用临时值。因此,在第一控制模块102再次接收到命令或接收到据称是命令的通信的情况下,第一控制模块102阻止使用临时值对数字签名进行解密。在框350之后,过程300结束。
图4是示出可信服务器108为本地服务器106生成数字签名的示例性过程400的过程流程图。可信服务器108的存储器存储用于执行过程400的步骤的可执行指令和/或可以以诸如上述的结构来实施编程。作为过程400的总体概述,可信服务器108接收第一控制模块102的序列号和公钥并对它们进行解密,接收临时私钥,使用临时私钥来生成数字签名,并且将数字签名传输到本地服务器106。
过程400始于框405中,其中可信服务器108接收由多个第一控制模块102传输的序列号和公钥,如上文关于框310所述的。可信服务器108使用可信服务器私钥对序列号和公钥进行解密。可信服务器108存储序列号和公钥,以在未来在车辆100已经离开第三位置114之后与第一控制模块102进行加密通信。
接下来,在框410中,可信服务器108从第一位置服务器116接收对应于临时值的临时私钥(或者可信服务器108可以根据其生成可使用临时值解密的数字签名的其他数据)。临时私钥在被可信服务器108接收时用可信服务器公钥加密,并且可信服务器108使用可信服务器私钥来对临时私钥进行解密。
接下来,在框415中,可信服务器108生成数字签名。数字签名是随后被加密的命令的一部分或包括在所述命令中的消息。数字签名是基于临时值,例如,使用对应于临时值的临时私钥来加密的。
接下来,在框420中,可信服务器108例如经由网络118或通过物理地发送存储数字签名的要插入本地服务器106中的存储驱动器来将数字签名传输到本地服务器106。在框420之后,过程400结束。
图5是示出本地服务器106使用数字签名来将包括操作的命令传输到车辆100的示例性过程500的过程流程图。本地服务器106的存储器存储用于执行过程500的步骤的可执行指令和/或可以以诸如上述的结构来实施编程。作为过程500的总体概述,在车辆100的组装开始之前,本地服务器106接收数字签名。一旦组装开始,当本地服务器106接收到车辆100中的下一个准备就绪的通知时,本地服务器106就依次将具有数字签名的命令传输到多个车辆100中的每一个。过程500继续,直到发生转换为新的数字签名。
过程500始于框505中,其中本地服务器106从可信服务器108接收如上文关于框420所述发送的数字签名。数字签名存储在本地服务器106上。临时值未存储在本地服务器106上,因此本地服务器106无法对数字签名进行解密。临时私钥未存储在本地服务器106上,因此本地服务器106无法生成数字签名。
接下来,在决策框510中,本地服务器106确定其是否已经接收到多个车辆100中的下一个的通知。例如,本地服务器106可以从技术人员接收指示下一个车辆100准备好接收命令的输入。又例如,本地服务器106可以从例如位置传感器接收数据,所述数据指示下一个车辆100处于沿着组装线的为车辆100接收命令指定的位置。如果本地服务器106尚未接收到通知,则过程500停留在决策框510处以等待通知。一旦本地服务器106接收到通知,过程500就前进到框515。
在框515中,本地服务器106将包括要执行的操作的命令传输到下一个车辆100以执行操作。当本地服务器106将命令传输到车辆100时,车辆100仍与本地服务器106处于第三位置114。车辆100的第一控制模块102接收如上文关于框315所述的命令。命令包括数字签名。命令(并且具体地说,数字签名)跨车辆100共用,直到发生转换为止。本地服务器106不存储第一控制模块102的公钥-私钥对的私钥或公钥。因此,本地服务器106无法发送与生成数字签名的命令不同的命令。
接下来,在决策框520中,本地服务器106确定是否已经指示转换。当第三位置114开始使用具有新的临时值的第一控制模块102组装车辆100时发生转换,从而需要新的数字签名。例如,转换可以在指定的时间范围(例如,在开始使用当前数字签名之后的六个月或一年)内发生,或者在指定的事件(例如,特定批次的第一控制模块102的结束)下发生。如果未指示转换,则过程500返回到决策框510以等待具有相同临时值的下一个车辆100的通知。如果发生转换,则过程500结束。
一般来讲,所描述的计算系统和/或装置可以采用多种计算机操作系统中的任一种,包括但决不限于以下版本和/或种类:
应用程序;AppLink/智能装置连接中间件;Microsoft
操作系统;Microsoft
操作系统;Unix操作系统(例如,由加利福尼亚州红木海岸的Oracle Corporation发布的
操作系统);由纽约州阿蒙克市的国际商业机器公司发布的AIX UNIX操作系统;Linux操作系统;由加利福尼亚州库比蒂诺市的苹果公司发布的Mac OSX和iOS操作系统;由加拿大滑铁卢的黑莓有限公司发布的黑莓操作系统;以及谷歌公司和开放手机联盟开发的安卓操作系统;或由QNX软件系统公司提供的
车载娱乐信息平台。计算装置的示例包括但不限于车载计算机、计算机工作站、服务器、台式机、笔记本、膝上型计算机或手持计算机、或某一其他计算系统和/或装置。
计算装置通常包括计算机可执行指令,其中所述指令可由诸如以上列出的那些的一个或多个计算装置执行。可以由使用多种编程语言和/或技术创建的计算机程序编译或解译计算机可执行指令,所述编程语言和/或技术单独地或者组合地包括但不限于JavaTM、C、C++、Matlab、Simulink、Stateflow、Visual Basic、Java Script、Python、Perl、HTML等。这些应用中的一些可以在虚拟机(诸如Java虚拟机、Dalvik虚拟机等)上编译和执行。一般来说,处理器(例如,微处理器)例如从存储器、计算机可读介质等接收指令,并且执行这些指令,由此执行一个或多个过程,包括本文所描述的过程中的一者或多者。此类指令和其他数据可以使用各种计算机可读介质来存储和传输。计算装置中的文件通常是存储在诸如存储介质、随机存取存储器等计算机可读介质上的数据的集合。
计算机可读介质(又被称为处理器可读介质)包括参与提供可以由计算机(例如,由计算机的处理器)读取的数据(例如,指令)的任何非暂时性(例如,有形)介质。此类介质可以采取许多形式,包括但不限于非易失性介质和易失性介质。非易失性介质可以包括例如光盘或磁盘以及其他持久性存储器。易失性介质可以包括例如通常构成主存储器的动态随机存取存储器(DRAM)。此类指令可以由一种或多种传输介质(包括同轴电缆、铜线和光纤(包括具有耦接到ECU的处理器的系统总线的导线))传输。计算机可读介质的常见形式包括例如软盘、软磁盘、硬盘、磁带、任何其他磁性介质、CD-ROM、DVD、任何其他光学介质、穿孔卡片、纸带、任何其他具有孔图案的物理介质、RAM、PROM、EPROM、快闪EEPROM、任何其他存储器芯片或盒式磁带,或计算机可从中读取的任何其他介质。
本文所述的数据库、数据存储库或其他数据存储可包括用于存储、存取/访问和检索各种数据的各种机制,包括分层数据库、文件系统中的文件集、专用格式的应用程序数据库、关系型数据库管理系统(RDBMS)、非关系数据库(NoSQL)、图形数据库(GDB)等。每个这样的数据存储通常被包括在采用诸如以上提及中的一种的计算机操作系统的计算装置内,并且以各种方式中的任何一种或多种来经由网络进行访问。文件系统可以从计算机操作系统访问,并且可以包括以各种格式存储的文件。除了用于创建、存储、编辑和执行已存储的程序的语言(诸如上述PL/SQL语言)之外,RDBMS还通常采用结构化查询语言(SQL)。
在一些示例中,系统元件可以被实施为一个或多个计算装置(例如,服务器、个人计算机等)上、存储在与其相关联的计算机可读介质(例如,磁盘、存储器等)上的计算机可读指令(例如,软件)。计算机程序产品可以包括存储在计算机可读介质上的用于执行本文所描述功能的此类指令。
在附图中,相同的附图标记指示相同的元件。另外,可以改变这些元件中的一些或全部。关于本文描述的介质、过程、系统、方法、启发等,应当理解,虽然此类过程等的步骤已被描述为按照某一有序的顺序发生,但是可以通过以与本文所述顺序不同的顺序执行所述步骤来实践此类过程。还应当理解,可以同时执行某些步骤,可以添加其他步骤,或者可以省略本文描述的某些步骤。
除非本文作出相反的明确指示,否则权利要求中使用的所有术语意图给出如本领域技术人员所理解的普通和通常的含义。特别地,诸如“一个”、“该”、“所述”等单数冠词的使用应被解读为叙述所指示的要素中的一个或多个,除非权利要求叙述相反的明确限制。形容词“第一”和“第二”贯穿本文档用作标识符,并且不意图表示重要性、次序或数量。“响应于”和“在确定……时”的使用指示因果关系,而不仅是时间关系。
已经以说明性方式描述了本公开,并且应当理解,已经使用的术语意图是描述性的词语的性质,而不是限制性的。鉴于以上教导,本公开的许多修改和变化是可能的,并且本公开可以不同于具体描述的其他方式来实践。
根据本发明,提供了一种系统,所述系统具有:控制模块;以及服务器,所述服务器被编程为将执行操作的命令传输到多个车辆,所述多个车辆包括包括控制模块的车辆,所述命令包括跨车辆共用的数字签名;并且控制模块被编程为:接收临时值;接收命令;用临时值对命令中的数字签名进行解密;在验证解密的数字签名后,执行操作;并且在度量递增到阈值后,阻止用临时值对数字签名进行解密。
根据实施例,服务器是本地服务器,系统还包括可信服务器,所述可信服务器被编程为:基于临时值生成数字签名;以及将数字签名传输到本地服务器。
根据实施例,临时值未存储在服务器上。
根据实施例,控制模块还被编程为接收对控制模块是唯一的公钥-私钥对。
根据实施例,公钥-私钥对的私钥不存储在服务器上。
根据实施例,公钥-私钥对的公钥不存储在服务器上。
根据本发明,提供了一种计算机,所述计算机包括处理器和存储器,所述存储器存储指令,所述指令可由处理器执行以:接收对计算机是唯一的公钥-私钥对;接收跨包括所述计算机的多个计算机共用的临时值;接收执行操作的命令,所述命令包括数字签名;用临时值对数字签名进行解密;在验证解密的数字签名后,执行操作;并且在度量递增到阈值后,阻止用临时值对数字签名进行解密。
根据实施例,度量是包括计算机的车辆的里程数。
根据实施例,度量是包括计算机的车辆的起动次数。
根据实施例,度量是接收到命令的次数。
根据实施例,命令是将多个对称密钥分发给包括计算机的车辆中的多个控制模块。
根据实施例,指令包括用于在解密的数字签名验证失败后阻止执行操作的指令。
根据本发明,一种方法包括:通过控制模块接收临时值;通过服务器将命令传输到多个车辆,所述多个车辆包括包括控制模块的第一车辆,所述命令是执行操作,所述命令包括跨车辆共用的数字签名;由控制模块用临时值对命令中的数字签名进行解密;在验证解密的数字签名后,由控制模块执行操作;以及在度量递增到阈值后,阻止控制模块用临时值对数字签名进行解密。
在本发明的一个方面,当向车辆进行传输时,服务器可以与车辆处于同一位置。
在本发明的一个方面,服务器是本地服务器,所述方法还包括:可信服务器基于临时值来生成数字签名,可信服务器远离所述位置;以及由可信服务器将数字签名传输到本地服务器。
在本发明的一个方面,阈值足够大以使第一车辆在度量递增到阈值之前离开所述位置。
在本发明的一个方面,所述位置是车辆的组装厂。
Claims (15)
1.一种方法,其包括:
通过控制模块接收临时值;
通过服务器将命令传输到多个车辆,所述多个车辆包括包括所述控制模块的第一车辆,所述命令是执行操作,所述命令包括跨所述车辆共用的数字签名;
由所述控制模块用所述临时值对所述命令中的所述数字签名进行解密;
在验证所述解密的数字签名后,所述控制模块执行所述操作;以及
在度量递增到阈值后,阻止所述控制模块用所述临时值对所述数字签名进行解密。
2.如权利要求1所述的方法,其中当向所述车辆进行传输时,所述服务器与所述车辆处于同一位置。
3.如权利要求2所述的方法,其中所述服务器是本地服务器,所述方法还包括:
由可信服务器基于所述临时值生成所述数字签名,所述可信服务器远离所述位置;以及
由所述可信服务器将所述数字签名传输到所述本地服务器。
4.如权利要求2所述的方法,其中所述阈值足够大以使所述第一车辆在所述度量递增到所述阈值之前离开所述位置。
5.如权利要求2所述的方法,其中所述位置是所述车辆的组装厂。
6.一种计算机,其包括处理器和存储器,所述存储器存储指令,所述指令可由所述处理器执行以:
接收对所述计算机是唯一的公钥-私钥对;
接收跨包括所述计算机的多个计算机共用的临时值;
接收执行操作的命令,所述命令包括数字签名;
用所述临时值对所述数字签名进行解密;
在验证所述解密的数字签名后,执行所述操作;以及
在度量递增到阈值后,阻止用所述临时值对所述数字签名进行解密。
7.如权利要求6所述的计算机,其中所述度量是包括所述计算机的车辆的里程数。
8.如权利要求6所述的计算机,其中所述度量是包括所述计算机的车辆的起动次数。
9.如权利要求6所述的计算机,其中所述度量是接收到所述命令的次数。
10.如权利要求6所述的计算机,其中所述命令是将多个对称密钥分发给包括所述计算机的车辆中的多个控制模块。
11.如权利要求6所述的计算机,其中所述指令包括用于在所述解密的数字签名验证失败后阻止执行所述操作的指令。
12.一种系统,其包括:
如权利要求6至11中的一项所述的计算机;以及
服务器;
所述服务器被编程为将执行操作的命令传输到多个车辆,所述多个车辆包括包括所述计算机的车辆,所述数字签名跨所述车辆共用。
13.如权利要求12所述的系统,其中所述临时值未存储在所述服务器上。
14.如权利要求12所述的系统,其中所述计算机还被编程为接收对所述控制模块是唯一的公钥-私钥对,并且所述公钥-私钥对的私钥不存储在所述服务器上。
15.如权利要求12所述的系统,其中所述计算机还被编程为接收对所述控制模块是唯一的公钥-私钥对,并且所述公钥-私钥对的公钥不存储在所述服务器上。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/163,602 | 2021-02-01 | ||
| US17/163,602 US11658828B2 (en) | 2021-02-01 | 2021-02-01 | Securely transmitting commands to vehicle during assembly |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114844624A true CN114844624A (zh) | 2022-08-02 |
Family
ID=82403077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210108659.3A Pending CN114844624A (zh) | 2021-02-01 | 2022-01-28 | 在组装期间将命令安全地传输到车辆 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11658828B2 (zh) |
| CN (1) | CN114844624A (zh) |
| DE (1) | DE102022102092A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220353073A1 (en) * | 2021-04-28 | 2022-11-03 | Thales Dis Cpl Usa, Inc. | Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2840748B1 (fr) * | 2002-06-05 | 2004-08-27 | France Telecom | Procede et systeme de verification de signatures electroniques et carte a microcircuit pour la mise en oeuvre du procede |
| DE102009025585B4 (de) | 2009-06-19 | 2012-08-16 | Audi Ag | Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts |
| EP2474143B1 (en) * | 2009-08-31 | 2019-03-20 | Telcordia Technologies, Inc. | System and methods to perform public key infrastructure (pki) operations in vehicle networks using one-way communications infrastructure |
| JP6203146B2 (ja) | 2014-08-04 | 2017-09-27 | 株式会社東芝 | システム鍵設定システム、鍵配布鍵設定サーバ及び鍵配布鍵設定方法 |
| KR102248694B1 (ko) * | 2014-12-02 | 2021-05-07 | 삼성전자주식회사 | 프로파일을 관리하는 방법과 이를 지원하는 전자 장치 |
| JP6197000B2 (ja) | 2015-07-03 | 2017-09-13 | Kddi株式会社 | システム、車両及びソフトウェア配布処理方法 |
| US20180183581A1 (en) * | 2016-12-28 | 2018-06-28 | Intel Corporation | Arrangements for datalink security |
| US11966912B2 (en) * | 2017-06-26 | 2024-04-23 | Auctane, Inc. | System and method for cryptographic-chain-based verification of postage transaction records |
| JP6936169B2 (ja) * | 2018-02-27 | 2021-09-15 | ヤフー株式会社 | 認証器管理装置、認証器管理方法、認証器管理プログラム及び認証器管理システム |
| US11290437B2 (en) | 2018-12-27 | 2022-03-29 | Beijing Voyager Technology Co., Ltd. | Trusted platform protection in an autonomous vehicle |
| US20200259650A1 (en) * | 2019-02-08 | 2020-08-13 | Blackberry Limited | Secure communication with an authentication process |
| US11871228B2 (en) * | 2020-06-15 | 2024-01-09 | Toyota Motor Engineering & Manufacturing North America, Inc. | System and method of manufacturer-approved access to vehicle sensor data by mobile application |
-
2021
- 2021-02-01 US US17/163,602 patent/US11658828B2/en active Active
-
2022
- 2022-01-28 CN CN202210108659.3A patent/CN114844624A/zh active Pending
- 2022-01-28 DE DE102022102092.4A patent/DE102022102092A1/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US11658828B2 (en) | 2023-05-23 |
| DE102022102092A1 (de) | 2022-08-04 |
| US20220247567A1 (en) | 2022-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110351314B (zh) | 汽车控制器的远程升级方法及计算机可读存储介质 | |
| US11618395B2 (en) | Vehicle data verification | |
| US10218702B2 (en) | Vehicle access systems and methods | |
| US9031712B2 (en) | Remote management and control of vehicular functions via multiple networks | |
| US20160366247A1 (en) | Over-the-air vehicle systems updating and associated security protocols | |
| US20150264017A1 (en) | Secure vehicle data communications | |
| US20150200804A1 (en) | In-vehicle apparatus for efficient reprogramming and control method thereof | |
| CN107483393B (zh) | 车联网的通信方法、服务器及通信系统 | |
| US11005649B2 (en) | Autonomous driving controller encrypted communications | |
| US20200079319A1 (en) | Multi-factor authentication of a hardware assembly | |
| US11182485B2 (en) | In-vehicle apparatus for efficient reprogramming and controlling method thereof | |
| US11960901B2 (en) | Autonomous driving controller parallel processor boot order | |
| CN112153646B (zh) | 认证方法、设备及系统 | |
| US20220063556A1 (en) | Method for Deactivating a Motor Vehicle, Deactivation System for a Motor Vehicle, and Motor Vehicle | |
| CN114844624A (zh) | 在组装期间将命令安全地传输到车辆 | |
| CN113497704A (zh) | 车载密钥生成方法、车辆及计算机可读存储介质 | |
| CN113343641A (zh) | 设备标识方法、装置、系统和云端服务器 | |
| US11743033B2 (en) | Transmission of authentication keys | |
| US20240147237A1 (en) | Transmission of authentication keys | |
| US20240118880A1 (en) | Transmission of authentication keys | |
| US20230087521A1 (en) | Computing device verification | |
| CN112822196B (zh) | 中央域控的通信方法和系统 | |
| US20220224528A1 (en) | Transmission of authentication keys | |
| CN114915403A (zh) | 车辆计算装置认证 | |
| CN114143776A (zh) | 一种移动终端与车辆通信的加密方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |