CN115174040B - 一种车内控制器密钥注入与更新方法、系统、车辆及介质 - Google Patents
一种车内控制器密钥注入与更新方法、系统、车辆及介质 Download PDFInfo
- Publication number
- CN115174040B CN115174040B CN202210164109.3A CN202210164109A CN115174040B CN 115174040 B CN115174040 B CN 115174040B CN 202210164109 A CN202210164109 A CN 202210164109A CN 115174040 B CN115174040 B CN 115174040B
- Authority
- CN
- China
- Prior art keywords
- key
- data
- vehicle
- management
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000004519 manufacturing process Methods 0.000 claims abstract description 79
- 238000012795 verification Methods 0.000 claims abstract description 55
- 238000002347 injection Methods 0.000 claims abstract description 32
- 239000007924 injection Substances 0.000 claims abstract description 32
- 238000007726 management method Methods 0.000 claims description 83
- 238000003745 diagnosis Methods 0.000 claims description 10
- 238000013524 data verification Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 12
- 238000004364 calculation method Methods 0.000 description 5
- 230000033764 rhythmic process Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000001680 brushing effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/72—Signcrypting, i.e. digital signing and encrypting simultaneously
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Lock And Its Accessories (AREA)
Abstract
本发明请求保护一种车内控制器密钥注入与更新方法及系统,后台密钥服务器基于预设的临时密钥生成车辆管理密钥,基于管理密钥生成业务密钥缓存,使用密钥将其对应密钥属性信息进行加密及签名作为校验数据;生产服务器将车辆和控制器与缓存的密钥/校验数据进行预绑定,车内控制器使用对应保护密钥解密;调用密钥接口使用当前密钥对其密钥属性进行加密签名得到本地校验数据,将生产服务器的校验数据和本地校验数据比较,如果正确,则密钥注入更新成功,反之则失败;注入更新结果反馈给生产服务器,将此车辆和控制器与预绑定的密钥数据进行终绑定上传到后台密钥服务器。
Description
技术领域
本发明涉及智能汽车技术,具体涉及一种汽车车内控制器的密钥管理方法。
背景技术
智能网联汽车面临的信息安全威胁越来越严峻,使用密钥对车辆关键业务及数据进行加密处理来保障车辆信息安全是最常用且最有效的防御策略。在需要使用密钥的任何业务场景中,密钥本身的安全是保障整体加密策略的最核心的需求,而密钥安全中密钥注入和更新的安全可靠一直是密钥管理中的关键问题和难题。车内控制器中主要使用的密钥可分为对称密钥和非对称密钥:非对称密钥的加密原理为非对称加密,即数据交互双方无需使用相同的密钥,在保障自身私钥的安全存储和安全使用的前提下,无需考虑公钥的安全性;对称密钥的加密原理为对称加密,即数据交互双方在加解密是需使用相同的密钥,除了保障密钥本身的安全存储和安全使用,还需要保证密钥传递的安全性,及对称密钥的注入和更新的安全性,而在汽车的生产制造和维修时还需保证传递过程的可靠性。
目前,在汽车生产制造和维修时主要的对称密钥(下文简称密钥)注入更新方法有两种:第一种是通过线下方式传递密钥,首先整车厂密钥导出,然后通过邮件等介质加密传递给控制器生产商产线进行注入,这种方法传递的过程无法保证密钥的私密性和真实性。另一种是在整车生产时,建立控制器与后台密钥管理服务器的安全连接后,在线将密钥直接注入到车内控制器中,但是在复杂的车辆生产环境中,工厂系统和后台服务连接是不可靠且存在延时,此种方法无法适应和生产节奏,无法保障密钥注入更新过程的可靠性。
公开号CN110225063B,名称“汽车车载系统的升级方法、升级系统、服务器及车载终端”公开了一种汽车车载系统的升级方法,包括:服务器确定与本次升级业务的业务类型对应的密钥集类型;从属于密钥集类型的密钥集中选取出第一私钥和第一密码;利用第一私钥和第一密码对原始升级包进行签名和加密,以得到安全升级包,并将所用证书和密码的标识信息附加在安全升级包中;将安全升级包传输至目标车辆的车载终端;车载终端从安全升级包中还原出所用证书和密码的标识信息,从而得到并利用与第一私钥对应的第一公钥以及与第一密码对应的第二密码对安全升级包进行验签和解密,以利用还原出的原始升级包对车载系统进行升级,从而实现业务层面的密钥分离,密钥可随时更换,以降低密钥泄露的可能和危害程度。
上述文献方法主要用于对控制器内软件的升级与更新,升级时只需保证升级包的真实性和完整性,且忽略了整车产线进行更新升级的场景,而密钥的升级更新需要除了保证真实性和完整性以外,还需要保证升级过程中加密密钥本身的安全性、生产线升级场景及数据的闭环。所以,该方法不适用于密钥的升级与更新;同时,非对称的密钥算法在实际车辆生产执照过程中对控制器的芯片性能要求严格,仅适用于小部分控制器。
发明内容
本发明针对现有技术汽车加密密钥注入过程中存在传递和注入过程无法保证密钥本身的私密性、真实性、可用性,提供一种汽车控制器对称密钥注入和更新方法,可以保证汽车在生产制造和维修场景对称密钥注入和更新的私密性和真实性,可以在不影响整车生产节奏的前提下保障注入过程的可靠性,对控制器芯片要求较松,适用于大部分控制器。
本发明解决上述技术问题的技术方案是,一方面,提供一种车内控制器密钥注入与更新方法,其特征在于,临时密钥预先植入控制器;后台密钥服务器基于临时密钥生成车辆管理密钥,基于车辆管理密钥生成业务密钥并缓存;后台密钥服务器将上述密钥使用对应密钥属性信息进行加密及数字签名,生成对应密文和校验数据;生产服务器将车辆控制器与由密钥-密文-校验数据构成的密钥数据keydata进行预绑定,更新管理密钥,通过生产诊断设备发送给车内控制器;车内控制器使用对应保护密钥解密解签后存储,密钥接口使用当前密钥对其密钥属性进行加密及签名得到本地校验数据进行验证;如本地校验数据与生产服务器生成的校验数据比对正确,则密钥注入更新成功;车内控制器将车辆识别号码、控制器与密钥数据进行终绑定上传到后台密钥服务器。
进一步优选,加密过程中后台密钥服务器根据临时密钥生成多条不同密钥数据,每条密钥数据对应不同的车辆管理密钥key2与业务密钥key3,下发生产服务器进行缓存;
进一步优选,预绑定密钥包括:诊断设备基于车辆识别号码VIN、零部件编号和车内控制器信息向生产服务器请求一条密钥-密文-校验数据的密钥数据,生产服务器将车辆和控制器与此条密钥-密文-校验数据进行预绑定,通过生产诊断设备发送给车内控制器。
进一步优选,验证过程:车内控制器基于预设的临时密钥key1对密钥数据keydata中的管理密钥密文key2dataC进行解密,得到管理密钥key2及其属性信息key2dataP,基于key1对key2及其属性信息key2dataP进行再签名得到管理密钥本地校验数据key2dataM1,对比keydata中的key2dataM与本地key2dataM1,若相同则验证通过。
进一步优选,更新过程:将管理密钥key2写入控制器的安全存储芯片中替换临时密钥key1,基于该管理密钥对其属性信息key2dataP进行再签名得到管理密钥本地校验数据key2dataV1,对比签名数据keydata中的key2dataV与本地key2dataV1,若相同则管理密钥key2更新成功。
进一步优选,车内控制器基于安全存储芯片中的管理密钥key2对签名数据keydata中的业务密文key3dataC进行解密,得到业务密钥key3及其密钥属性key3dataP信息,并基于key2对key3及其属性信息进行再签名得到本地签名校验数据key3dataM1,对比签名数据中的管理密钥签名校验数据key3dataM与key3dataM1,若相同则验证通过,将key3写入车内控制器的安全存储芯片替换管理密钥key2。
进一步优选,基于安全存储芯片中的key3对其密钥属性key3dataP进行再签名得到业务密钥本地校验数据key3dataV1,对比keydata中的业务密钥校验数据key3dataV与key3dataV1,若相同则业务密钥key3更新校验成功,将车辆和控制器与预绑定的密钥数据进行终绑定,并上传到后台密钥服务器。
进一步优选,管理密钥数据的保护密钥为临时密钥key1,业务密钥key3的保护密钥为管理密钥key2,密钥数据keydata为管理密钥和业务密钥的密文及对应的密钥校验数据的组合,调用公式:key2dataC = AES128-CBC(key1, key2|key2dataP),key2dataM = AES128-CMAC(key1, key2dataC ),key2dataV = AES128-CMAC(key2, key2dataP), key3dataC = AES128-CBC(key2, key3|key3dataP),key3dataM = AES128-CMAC(key2, key3dataC ),key3dataV = AES128-CMAC(key3, key3dataP),keydata= key2dataC | key2dataM | key2dataV | key3dataC | key3dataM | key3dataV;key2dataM1 = AES128-CMAC(key1, key2dataC ),key2dataV1 = AES128-CMAC(key2, key2dataP ), key3dataM1 = AES128-CMAC(key2, key3dataC ),key3dataV1 = AES128-CMAC(key3, key3dataP )计算上述密钥、密文及校验数据,其中,key2dataC、key3dataC、key2dataM、key3dataM、key3dataV、key2dataV为key2和key3的密文、密钥签名数据、密钥校验数据。
第二方面,本发明还提出一种车内控制器密钥注入与更新系统,后台密钥服务器基于临时密钥生成车辆管理密钥,基于车辆管理密钥生成业务密钥并缓存,临时密钥预先植入控制器;后台密钥服务器使用临时密钥和车辆管理密钥逐级更新,使用上级密钥对被更新密钥及其密钥属性进行加密及签名,将上述密钥使用对应密钥属性信息进行加密及数字签名,生成对应密文和校验数据;生产服务器将车辆控制器与由密钥-密文-校验数据构成的密钥数据keydata进行预绑定;诊断设备基于车辆识别信息和车内控制器信息向生产服务器请求密钥数据;生产服务器将车辆和控制器与缓存的密钥数据进行预绑定,通过生产诊断设备发送给车内控制器;车内控制器使用临时密钥和车辆管理密钥逐级解密解签后,逐级进行密钥数据校验并写入到安全存储芯片中;密钥接口使用被更新密钥逐级校验,确认密钥更新成功,车内控制器将车辆识别号码、控制器与密钥数据进行终绑定上传到后台密钥服务器。
第三方面,本发明还请求保护一种车辆,包括上面所述的一种车内控制器密钥注入与更新系统。
第四方面,本发明请求保护一种计算机可读存储介质,其内存储有计算机可读程序,所述计算机可读程序被控制器调用时,能执行如上面所述的车内控制器密钥注入与更新方法
本发明通过在控制器中预置临时密钥key1保护整车生产时第一次密钥注入过程,保障车辆实际使用密钥的机密性和真实性;通过提前计算密钥数据和校验数据,并使用生产服务器进行批量缓存,并将除临时密钥key1外其他密钥的实际注入控制器过程控制在生产产线内部,被刷写密钥生成下发和注入过程解耦,避免了控制器到后台密钥服务器的通信长链路连接带来的延时和不稳定性,提高了密钥传递可靠性,保证了整车生产节奏。
本方法充分考虑传统信息安全领域和汽车领域的特点,既保证了车内控制器密钥注入和更新时的机密性和可靠性,又保证了车辆生产节拍的稳定,极具可实施性。同时,此方法可以应用到车辆售后中的密钥更新环节,可保证车辆全生命周期内密钥的安全注入与更新。
附图说明
图1为车内控制器密钥注入与更新流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他技术方案,都属于本发明保护的范围。
如图1所示为车内控制器密钥注入与更新流程示意图。包括:1. 服务器生成临时密钥key1、管理密钥key2、业务密钥key3及对应的密钥数据;2.控制器预置临时密钥key2;3.生产服务器批量缓存密钥数据;4.诊断设备读取车辆及控制器信息,并向生产服务器请求密钥数据;5. 生产服务器将车辆和控制对此密钥数据进行预绑定,并发送给控制器;6.控制器通过对应保护密钥进行校验,并判断注入更新密钥成功;7.如果不成功向生产服务器报故障,并重新请求密钥数据;8.注入成功,控制器调用本地密钥接口,使用被刷写密钥计算本地校验数据;9.校验数据比对;11.校验比对正确,将结果反馈生产服务器;13.生产服务器将结果反馈后台密钥服务器;10.如不正确记录失败原因,提示重新注入分会步骤4重新向生产服务器请求数据。
整车厂的生产服务器与供应商服务器共同协商一个随机数用作密钥传输加密的临时密钥key1,将此临时密钥key1注入控制器中存储在控制器内的安全存储芯片中,后台密钥服务器基于临时密钥key1生成车辆管理密钥key2,基于管理密钥key2生成业务密钥key3并缓存;后台密钥服务器基于临时密钥key1对key2及其密钥属性key2dataP使用对称加密算法(如AES128-CBC)进行加密得到加密数据key2dataC,对加密结果key2dataC进行签名(可采用AES128-CMAC)得到key2dataM,同时,基于车辆管理密钥key2对其自身属性key2dataP进行签名(可使用AES128-CMAC算法)得到key2dataV;同理,后台密钥服务器基于管理密钥key2对key3及其密钥属性key3dataP进行加密(可使用对称加密算法AES128-CBC)得到加密数据key3dataC,对加密结果key2dataC进行签名(使用AES128-CMAC)得到密钥key3dataM,同时基于key3对其自身属性key3dataP进行签名(可使用AES128-CMAC算法)得到key3dataV; 将加密数据key2dataC、key2dataM、key2dataV、key3dataC、key3dataM及key3dataV组合为一条密钥数据keydata。
加密过程:后台密钥服务器提前生成多条不同keydata,每条密钥数据keydata对应不同的车辆管理密钥key2与业务密钥key3,并下发给生产服务器进行缓存;车辆生产中,诊断设备基于车辆VIN、零部件编号等车辆和车内控制器信息向生产服务器请求一条密钥数据keydata;生产服务器将车辆和控制器与此条缓存的密钥数据进行预绑定,通过生产诊断设备发送给车内控制器;验证过程:车内控制器基于预设的key1对keydata中的key2dataC进行解密拆解(可使用AES128-CBC算法),得到管理密钥key2及其属性信息key2dataP,并基于key1进行对key2及其属性信息key2dataP进行再签名(可使用AES128-CMAC算法)得到key2dataM1,对比keydata中的key2dataM与计算得到key2dataM1,若相同则验证通过;更新过程:将key2写入控制器的安全存储芯片中替换key1,否则更新失败,之后基于安全存储芯片中的key2对key2dataP进行再签名(可使用AES128-CMAC算法)得到key2dataV1,对比keydata中的key2dataV与计算得到key2dataV1,若相同则key2更新成功,否则失败;同理,完成管理密钥key2的更新后,车内控制器基于安全存储芯片中的key2对keydata中的key3dataC进行解密拆解(可使用AES128-CBC算法),得到管理密钥key3及其属性信息key3dataP,并基于key2对key3及其属性信息key3dataP进行再签名(可使用AES128-CMAC算法)得到key3dataM1;对比keydata中的key3dataM与计算得到key3dataM1,若相同则验证通过,将key3写入控制器的安全存储芯片中,否则更新失败,之后基于安全存储芯片中的key3对key3dataP进行再签名(可使用AES128-CMAC算法)得到key3dataV1;对比keydata中的key3dataV与计算得到key3dataV1,若相同则key3更新成功,否则失败。key2与key3均更新成功,车内控制器通过生产诊断设备将更新结果反馈给生产服务器,将此车辆和控制器与预绑定的密钥数据进行终绑定,并上传到后台密钥服务器进行闭环管理。
后台密钥服务器生成一个随机数作为需要预置到控制器中的临时密钥key1,及用于车辆实际业务使用的密钥数据。密钥数据是机密性、完整性和可用性保护的密文数据。密钥数据包括管理密钥key2和业务密钥key3的密文(key2dataC、key3dataC)及对应的密钥校验数据(key2dataM、key2dataV、key3dataM、key3dataV),管理密钥数据的保护密钥为临时密钥key1,业务密钥key3的保护密钥为管理密钥key2。密钥数据keydata为管理密钥和业务密钥的密文及对应的密钥校验数据的组合(即包括:key2dataC、key2dataM、key2dataV 、key3dataC、 key3dataM、key3dataV几个数据字段的组合)。上述密钥、密文、校验数据可采用以下方式计算:
key2dataC = AES128-CBC(key1, key2|key2dataP),key2dataM = AES128-CMAC (key1, key2dataC ),key2dataV = AES128-CMAC(key2, key2dataP),key3dataC = AES128-CBC(key2, key3|key3dataP),key3dataM = AES128-CMAC(key2, key3dataC ), key3dataV = AES128-CMAC(key3, key3dataP),keydata= key2dataC | key2dataM | key2dataV | key3dataC | key3dataM | key3dataV。(其中“|”表示前后数据段的拼接组合)。
可见,key2dataC与key3dataC为加密后的密文,保证传输过程中的机密性;key2dataM与key3dataM为对密文进行签名计算的签名数据,保证传输过程中的完整性;key2dataV与key3dataV为使用被更新密钥计算的签名校验数据,用于更新后的校验计算,保证更新注入过程的可用性。
供应商将临时密钥写入到后续需要更新密钥的控制器;在车辆装配生产前,后台密钥服务器根据上述计算方法生成的一批车辆实际使用的密钥数据下发给整车生产服务器进行缓存,其中,临时密钥key1是相同的,但是管理密钥key2与业务密钥key3是不同的,可以在服务器空闲时自动完成,保证连接传输可靠性;在整车生产过程中,生产诊断设备读取VIN及零部件编号的车辆和控制器信息,并向生产服务器请求一条密钥数据keydata。生产服务器收到请求后,将车辆和控制器与缓存的密钥数据进行预绑定,使VIN-零部件编号-keydata建立一一对应的关系,并设置一个预绑定标志位,然后将密钥数据keydata通过生产诊断设备发送给车内控制器,上述步骤在生产系统内部完成,不会受到外部网络不稳定等因素的影响,不会影响生产节奏。
车内控制器将密钥数据keydata进行拆解得到,管理密钥密文key2dataC、管理密钥签名数据key2dataM、管理密钥校验数据key2dataV 、业务密钥密文key3dataC、 业务密钥签名数据key3dataM、业务密钥校验数据key3dataV。然后先使用预置的临时密钥key1对key2dataC进行解密,得到管理密钥key2及其密钥属性信息key2dataP,然后计算一个本地签名校验数据key2dataM1,通过比对key2dataM与key2dataM1的一致性确认传输过程的安全,比对成功则将密钥注入到控制器的安全存储芯片中;如果比对失败则不执行注入,需重新向生产服务器请求下一条密钥数据;
(key2,key2dataP)= AES128-CBC(key1, key2dataC)
key2dataM1 = AES128-CMAC(key1, key2dataC );
在key2注入成功后,控制器需调用自身的密钥接口,使用已注入的管理密钥key2计算本地校验数据key2dataV1,通过比对key2dataV与key2dataV1的一致性再次确认注入过程的可靠性并保证被更新的管理密钥key2的可用性;如果比对成功则表示此管理密钥key2注入流程结束,如失败需重新向生产服务器请求下一条密钥数据;
key2dataV1 = AES128-CMAC(key2, key2dataP );
同理,完成管理密钥key2的注入后,执行业务密钥key3的注入。控制器先使用管理密钥key2对业务密钥密文key3dataC进行解密,得到业务密钥key3及其密钥属性信息key3dataP,然后计算一个本地签名校验数据key3dataM1,通过比对key3dataM与key3dataM1的一致性确认传输过程的安全,比对成功则将密钥注入到控制器的安全存储芯片中;如果比对失败则不执行注入,需重新向生产服务器请求下一条密钥数据;
(key3,key3dataP)= AES128-CBC(key2, key3dataC)
key3dataM1 = AES128-CMAC(key2, key3dataC );
在key3注入成功后,控制器需调用自身的密钥接口,使用已注入的业务密钥key3计算本地校验数据key3dataV1,通过比对key3dataV与key3dataV1的一致性再次确认注入过程的可靠性并保证被更新的密钥key3的可用性;如果比对成功则表示此密钥key3注入流程结束,如失败需重新向生产服务器请求下一条密钥数据;
key3dataV1 = AES128-CMAC(key3, key3dataP );
在密钥数据keydata中的密钥(key2及key3)都注入完成后,通过生产诊断设备将结果反馈给生产服务器;生产服务器收到“注入成功”结果后,此车辆和控制器与预绑定的密钥数据进行终绑定,使VIN-零部件编号-keydata建立一一对应的关系,并将预绑定标志更改为终绑定标志;
待完成一批车辆的密钥终绑定后,生产服务器将绑定结果上传到后台密钥服务器进行记录和备份,形成数据闭环。
后台密钥服务器基于预设的临时密钥生成车辆管理密钥,基于车辆管理密钥生成业务密钥并缓存;后台密钥服务器使用临时密钥和车辆管理密钥逐级更新,更新过程中使用上级密钥对被更新密钥及其密钥属性进行加密及签名,保证密钥传输过程的安全,并基于被更新密钥本身进行校验信息预计算,将得到的结果作为密钥数据同时下发给生产服务器进行缓存;诊断设备基于车辆和车内控制器信息向生产服务器请求密钥数据;生产服务器将车辆和控制器与缓存的密钥数据进行预绑定,通过生产诊断设备发送给车内控制器;车内控制器使用临时密钥和车辆管理密钥逐级解密解签后,逐级进行密钥数据校验并写入到安全存储芯片中;每次写入后,调用密钥接口使用被更新密钥执行一次校验操作,确认密钥更新成功,保证密钥的可用性;车内控制器通过生产诊断设备将更新结果反馈给生产服务器,生产服务器将此车辆和控制器与预绑定的密钥数据进行终绑定上传到后台密钥服务器形成数据闭环。本密钥升级与更新系统兼顾密钥管理的层级管理,传输过程中的安全性,密钥更新后的校验确认等多个环节,保证了密钥更新的安全,同时全程使用对称算法降低对控制器的性能要求,在升级的路径上通过提前计算相关数据进行缓存,使得密钥更新时生产系统和后台密钥服务器解耦,保证了车辆生产节奏不因密钥管理的复杂度被影响。
Claims (10)
1.一种车内控制器密钥注入与更新方法,其特征在于,临时密钥key1预先植入控制器;后台密钥服务器基于临时密钥key1生成车辆管理密钥,基于车辆管理密钥key2生成业务密钥并缓存;后台密钥服务器将上述密钥使用对应密钥属性信息进行加密及数字签名,生成对应密文和校验数据;生产服务器将车辆控制器与由密文-校验数据构成的密钥数据keydata进行预绑定,更新管理密钥key2,通过生产诊断设备发送给车内控制器;车内控制器使用对应保护密钥解密解签后存储,密钥接口使用当前密钥对其密钥属性进行加密及签名得到本地校验数据进行验证;如本地校验数据与生产服务器生成的校验数据比对正确,则密钥注入更新成功;车内控制器将车辆识别号码、控制器与密钥数据进行终绑定上传到后台密钥服务器;其中验证过程:后台密钥服务器基于临时密钥 key1 对 key2 及其密钥属性 key2dataP 使用对称加密算法进行加密得到加密数据 key2dataC,对加密数据key2dataC 进行签名得到 key2dataM;车内控制器基于预设的临时密钥key1对密钥数据keydata中的管理密钥密文key2dataC进行解密,得到管理密钥key2及其属性信息key2dataP,基于key1对key2及其属性信息key2dataP进行加密得到加密数据 key2dataC,对加密数据 key2dataC再签名得到管理密钥本地校验数据key2dataM1;对比keydata中的key2dataM与本地key2dataM1,若相同则验证通过。
2.根据权利要求1所述的方法,其特征在于:加密过程中后台密钥服务器根据临时密钥生成多条不同密钥数据,每条密钥数据对应不同的车辆管理密钥key2与业务密钥key3,下发生产服务器进行缓存。
3.根据权利要求1所述的方法,其特征在于:预绑定密钥包括:诊断设备基于车辆识别号码VIN、零部件编号和车内控制器信息向生产服务器请求一条密文-校验数据的密钥数据,生产服务器将车辆和控制器与此条密文-校验数据进行预绑定,通过生产诊断设备发送给车内控制器。
4.根据权利要求1-3其中之一所述的方法,其特征在于:更新过程:将管理密钥key2写入控制器的安全存储芯片中替换临时密钥key1,基于该管理密钥对其属性信息key2dataP进行再签名得到管理密钥本地校验数据key2dataV1,对比签名数据keydata中的key2dataV与本地key2dataV1,若相同则管理密钥key2更新成功。
5.根据权利要求1-3其中之一所述的方法,其特征在于:后台密钥服务器基于管理密钥key2 对 业务密钥key3 及其密钥属性 key3dataP 进行加密得到加密数据 key3dataC,对加密结果 key2dataC 进行签名得到密钥 key3dataM ;车内控制器基于安全存储芯片中的管理密钥key2对签名数据keydata中的业务密文key3dataC进行解密,得到业务密钥key3及其密钥属性key3dataP信息,并基于key2对key3及其属性信息进行加密得到加密数据key3dataC,对加密数据 key3dataC再签名得到本地签名校验数据key3dataM1;对比签名数据中的管理密钥签名校验数据key3dataM与key3dataM1,若相同则验证通过,将key3写入车内控制器的安全存储芯片替换管理密钥key2。
6.根据权利要求5所述的方法,其特征在于:基于安全存储芯片中的key3对其密钥属性key3dataP进行再签名得到业务密钥本地校验数据key3dataV1,对比keydata中的业务密钥校验数据key3dataV与key3dataV1,若相同则业务密钥key3更新校验成功,将车辆和控制器与预绑定的密钥数据进行终绑定,并上传到后台密钥服务器。
7.根据权利要求5所述的方法,其特征在于,管理密钥数据的保护密钥为临时密钥key1,业务密钥key3的保护密钥为管理密钥key2,密钥数据keydata为管理密钥和业务密钥的密文及对应的密钥校验数据的组合,调用公式:key2dataC = AES128-CBC(key1, key2| key2dataP),key2dataM = AES128-CMAC(key1, key2dataC ),key2dataV = AES128-CMAC (key2, key2dataP),key3dataC = AES128-CBC(key2, key3|key3dataP),key3dataM = AES128-CMAC(key2, key3dataC ),key3dataV = AES128-CMAC(key3, key3dataP), keydata= key2dataC | key2dataM| key2dataV| key3dataC | key3dataM| key3dataV;key2dataM1 = AES128-CMAC(key1, key2dataC ),key2dataV1 = AES128-CMAC(key2, key2dataP ),key3dataM1 = AES128-CMAC(key2, key3dataC ),key3dataV1 = AES128- CMAC(key3, key3dataP )计算上述密钥、密文及校验数据,其中,key2dataC、key3dataC、key2dataM、key3dataM、key3dataV、key2dataV为key2和key3的密文、密钥签名数据、密钥校验数据。
8.一种车内控制器密钥注入与更新系统,其特征在于,后台密钥服务器基于临时密钥生成车辆管理密钥,基于车辆管理密钥生成业务密钥并缓存,临时密钥预先植入控制器;后台密钥服务器使用临时密钥和车辆管理密钥逐级更新,使用上级密钥对被更新密钥及其密钥属性进行加密及签名,将上述密钥使用对应密钥属性信息进行加密及数字签名,生成对应密文和校验数据;生产服务器将车辆控制器与由密文-校验数据构成的密钥数据keydata进行预绑定;诊断设备基于车辆识别信息和车内控制器信息向生产服务器请求密钥数据;生产服务器将车辆和控制器与缓存的密钥数据进行预绑定,通过生产诊断设备发送给车内控制器;车内控制器使用临时密钥和车辆管理密钥逐级解密解签后,逐级进行密钥数据校验并写入到安全存储芯片中;密钥接口使用被更新密钥逐级校验,确认密钥更新成功,车内控制器将车辆识别号码、控制器与密钥数据进行终绑定上传到后台密钥服务器;
其中验证过程:后台密钥服务器基于临时密钥 key1 对 key2 及其密钥属性key2dataP 使用对称加密算法进行加密得到加密数据 key2dataC,对加密数据 key2dataC进行签名得到 key2dataM;车内控制器基于预设的临时密钥key1对密钥数据keydata中的管理密钥密文key2dataC进行解密,得到管理密钥key2及其属性信息key2dataP,基于key1对key2及其属性信息key2dataP进行加密得到加密数据 key2dataC,对加密数据key2dataC再签名得到管理密钥本地校验数据key2dataM1,对比keydata中的key2dataM与本地key2dataM1,若相同则验证通过。
9.一种车辆,其特征在于,包括权利要求8所述的一种车内控制器密钥注入与更新系统。
10.一种计算机可读存储介质,其内存储有计算机可读程序,其特征在于,所述计算机可读程序被控制器调用时,能执行如权利要求1-7任一项所述的车内控制器密钥注入与更新方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210164109.3A CN115174040B (zh) | 2022-02-22 | 2022-02-22 | 一种车内控制器密钥注入与更新方法、系统、车辆及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210164109.3A CN115174040B (zh) | 2022-02-22 | 2022-02-22 | 一种车内控制器密钥注入与更新方法、系统、车辆及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174040A CN115174040A (zh) | 2022-10-11 |
| CN115174040B true CN115174040B (zh) | 2024-06-21 |
Family
ID=83476261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210164109.3A Active CN115174040B (zh) | 2022-02-22 | 2022-02-22 | 一种车内控制器密钥注入与更新方法、系统、车辆及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174040B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115988488B (zh) * | 2023-03-21 | 2023-06-30 | 北京全路通信信号研究设计院集团有限公司 | 一种在线集中更新车载密钥的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830243A (zh) * | 2019-10-18 | 2020-02-21 | 中国第一汽车股份有限公司 | 对称密钥分发方法、装置、车辆及存储介质 |
| CN111917536A (zh) * | 2019-05-09 | 2020-11-10 | 北京车和家信息技术有限公司 | 身份认证密钥的生成方法、身份认证的方法、装置及系统 |
| CN112987581A (zh) * | 2019-12-16 | 2021-06-18 | 华为技术有限公司 | 用于智能家居设备的控制方法及其介质和终端 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102315933B (zh) * | 2011-10-18 | 2014-02-05 | 飞天诚信科技股份有限公司 | 一种更新密钥的方法及系统 |
| CN103220270A (zh) * | 2013-03-15 | 2013-07-24 | 福建联迪商用设备有限公司 | 密钥下载方法、管理方法、下载管理方法及装置和系统 |
| US11295017B2 (en) * | 2017-01-31 | 2022-04-05 | Ford Global Technologies, Llc | Over-the-air updates security |
| CN107391143B (zh) * | 2017-07-27 | 2020-05-19 | 中通客车控股股份有限公司 | 一种T-Box远程升级方法 |
| CN110868294B (zh) * | 2019-12-09 | 2023-03-24 | 北京智宝云科科技有限公司 | 一种密钥更新方法、装置及设备 |
-
2022
- 2022-02-22 CN CN202210164109.3A patent/CN115174040B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111917536A (zh) * | 2019-05-09 | 2020-11-10 | 北京车和家信息技术有限公司 | 身份认证密钥的生成方法、身份认证的方法、装置及系统 |
| CN110830243A (zh) * | 2019-10-18 | 2020-02-21 | 中国第一汽车股份有限公司 | 对称密钥分发方法、装置、车辆及存储介质 |
| CN112987581A (zh) * | 2019-12-16 | 2021-06-18 | 华为技术有限公司 | 用于智能家居设备的控制方法及其介质和终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174040A (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6654465B2 (en) | Method of implementing a key recovery system | |
| KR100925329B1 (ko) | 디지털케이블 방송망에서 다운로더블 제한수신시스템을위한 상호인증 및 키 공유 방법과 장치 | |
| CN111131313B (zh) | 智能网联汽车更换ecu的安全保障方法及系统 | |
| CN110708388B (zh) | 用于提供安全服务的车身安全锚节点设备、方法以及网络系统 | |
| CN114327532A (zh) | 一种基于数字签名和加密的汽车ota升级信息安全实现方法 | |
| CN112182551B (zh) | Plc设备身份认证系统和plc设备身份认证方法 | |
| CN115174040B (zh) | 一种车内控制器密钥注入与更新方法、系统、车辆及介质 | |
| CN115665138A (zh) | 一种汽车ota升级系统及方法 | |
| CN113138775A (zh) | 车载诊断系统固件保护方法及系统 | |
| CN113572795A (zh) | 一种车辆安全通信方法、系统及车载终端 | |
| CN116094833A (zh) | 一种用于整车密钥分发的密钥管理方法和系统 | |
| CN115102695A (zh) | 基于区块链的车联网证书认证方法 | |
| CN113709734A (zh) | 一种基于区块链的无人机分布式身份认证方法 | |
| CN116193436A (zh) | 一种车机设备ota升级包下发方法及系统 | |
| CN112423298B (zh) | 一种道路交通信号管控设施身份认证系统及方法 | |
| CN111736868B (zh) | 一种基于身份标识和双向验证的汽车远程更新方法 | |
| CN113676330B (zh) | 一种基于二级密钥的数字证书申请系统及方法 | |
| US11570008B2 (en) | Pseudonym credential configuration method and apparatus | |
| WO2023000313A1 (zh) | 一种密钥验证方法及相关装置 | |
| CN112217797B (zh) | 一种应用区块链技术的智能网关物联网控制系统及方法 | |
| CN115021927A (zh) | 一种面向密码机集群的管理员身份管控方法及系统 | |
| CN111464554B (zh) | 一种车辆信息安全控制方法及系统 | |
| CN113766450A (zh) | 车辆虚拟钥匙共享方法及移动终端、服务器、车辆 | |
| CN117527262B (zh) | 一种基于芯片构建汽车安全ota的方法 | |
| CN112583605B (zh) | 一种基于区块链的免密认证方法、系统、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |