WO2022042298A1

WO2022042298A1 - 车载设备的控制方法、车载设备及车辆系统

Info

Publication number: WO2022042298A1
Application number: PCT/CN2021/111911
Authority: WO
Inventors: 廖作鹏
Original assignee: 华为技术有限公司
Priority date: 2020-08-31
Filing date: 2021-08-10
Publication date: 2022-03-03
Also published as: CN112131572B; CN112131572A; US20240028692A1; EP4195078A1; EP4195078A4

Abstract

车载设备的控制方法、车载设备及车辆系统。在该方法中，ECU之间利用数字证书来做ECU之间的安全认证，并根据证书链的匹配程度来确定当前允许访问的功能。利用数字证书可以提高车辆系统的安全等级。此外，该方法避免了认证结果单一性而导致的ECU资源浪费，节约成本及资源，提升用户体验。

Description

车载设备的控制方法、车载设备及车辆系统

本申请要求于2020年08月31日提交中国专利局、申请号为202010901662.1、申请名称为“车载设备的控制方法、车载设备及车辆系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信领域和信息安全领域，尤其涉及车载设备的控制方法、车载设备及车辆系统。

背景技术

目前，车辆系统上安装的电子控制单元(electronic control unit，ECU)的数量越来越多，极易出现ECU的非法替换、ECU程序的非法入侵和ECU关键数据的恶意篡改等问题。

为了解决上述问题，车辆系统采用对称密钥技术实现ECU之间的安全认证。在车辆系统中，两个ECU之间存储有相同的对称密钥。车辆运行时，一个ECU通过控制器局域网(controller area network，CAN)总线向另一个ECU发送随机数，另一个ECU使用存储的对称密钥对该随机数进行加密后得到返回值，并将返回值发送给该一个ECU。该ECU使用存储的与另一个ECU对应的对称密钥对该返回值进行解密，并将解密结果与随机数进行比对。若对比结果一致，则该ECU判定另一个ECU合法，否则判定为非法ECU并停止工作。

在车辆生产以及投入使用的过程中，对称密钥都极容易被恶意泄露或非法篡改，导致车辆系统的安全等级低。

发明内容

本申请提供了车载设备的控制方法、车载设备及车辆系统，可以提高车辆系统的安全等级。

第一方面，本申请提供了一种车载设备的控制方法，该方法应用于包括第一ECU和第二ECU的车辆系统，该第一ECU存储第一数字证书和第一私钥，该第二ECU存储第二数字证书。该方法可以包括：该第一ECU向该第二ECU发送该第一数字证书，该第一数字证书包括第一公钥；该第一ECU向该第二ECU发送使用该第一私钥加密的第一指令，该第一指令用于指示该第二ECU启动第一功能；该第二ECU使用该第一公钥对加密的该第一指令进行解密；该第二ECU根据第一颁发机构CA和该第二CA中包含的相同CA的数量，确定该第二ECU允许访问的功能；该第一CA为颁发该第一数字证书的CA，该第二CA为颁发该第二数字证书的CA；该第一CA、该第二CA的数量均为多个；该第一CA和该第二CA中包含的相同CA的数量越多，该第二ECU允许访问的功能的数量越多；如果该第二ECU允许访问的功能包括该第一功能，则该第二ECU启动该第一功能；如果该第二ECU允许访问的功能不包括该第一功能，则该第二ECU拒绝启动该第一功能。

实施第一方面的方法，利用数字证书来做ECU之间的安全认证，可以提高车辆系统的安全等级。此外，该方法无需区分主ECU和关键ECU，降低了对存储空间的要求。并且，ECU之间的安全方法中证书链匹配程度不同，ECU2可允许访问的功能不同，该方法避免了现有技术中认证结果单一性而导致的ECU资源浪费，节约成本及资源，提升用户体验。此外，一个车辆系统中的ECU被替换到其他车辆系统中后，该ECU还可以限制部分功能并继续运行，这样可以合理地再利用ECU，节约成本及资源，提升用户体验。

结合第一方面，在一些实施方式中，该第一ECU可以在接收到来自电子设备的第一消息之后，响应于该第一消息向该第二ECU发送该第一数字证书。该第一消息用于指示该第二ECU启动该第一功能。

例如，当第一ECU为车载T-box的ECU时，电子设备如手机可响应于用户操作向服务器发送远程控制指令，服务器将该远程控制指令转发至第一ECU，第一ECU接收到的该远程控制消息即为第一消息。这里，该服务器用于提供远程车辆控制服务。

结合第一方面，在一些实施方式中，该第二ECU启动或拒绝启动该第一功能之后，还可以将启动该第一功能的结果发送给该第一ECU；该第一ECU向该电子设备发送第二消息，该第二消息用于指示该第二ECU启动该第一功能的结果。这样可以使得电子设备输出该结果的提示信息，便于用户获知第二ECU启动第一功能的结果。

结合第一方面，在一些实施方式中，该车辆系统还包括显示屏，该第二ECU启动或拒绝启动该第一功能之后，该显示屏可以显示提示信息，该提示信息用于指示该第二ECU启动该第一功能的结果。这里，第二ECU可以直接将启动第一功能的结果发送给显示屏，也可以通过第一ECU将该结果发送给显示屏。这样可以使得用户直观地从车辆系统的显示屏上获知第二ECU的启动结果。

结合第一方面，在一些实施方式中，该第一ECU向该第二ECU发送使用该第一私钥加密的第一指令之前，还可以根据该第一CA和该第二CA中包含的相同CA的数量，确定该第一ECU允许访问的功能；该第一CA和该第二CA中包含的相同CA的数量越多，该第一ECU允许访问的功能的数量越多。在该第一ECU允许访问的功能包括指示该第二ECU启动该第一功能的情况下，该第一ECU向该第二ECU发送使用该第一私钥加密的第一指令。

结合第一方面，在一些实施方式中，该第一ECU还存储有第一证书链，该第二ECU还存储有第二证书链；该第一证书链包括该第一CA的数字证书，该第二证书链包括该第二CA的数字证书；该方法还包括：该第一ECU向该第二ECU发送该第一证书链。这样可以使得第二ECU根据双方证书链，来确定第一CA和第二CA的匹配程度。

结合第一方面，在一些实施方式中，该第一ECU向该第二ECU发送使用该第一私钥加密的第一指令之前，该方法还包括：该第一ECU确定该第二数字证书合法，且，该第二ECU为该第二数字证书的合法持有者。在第二ECU校验第一ECU的第一数字证书合法且第二ECU为该第一数字证书的合法持有者的情况下，该第二ECU才会和第一ECU进行交互，这样可以提高车辆系统内部的安全等级。

结合第一方面，在一些实施方式中，该第二ECU使用该第一公钥对加密的该第一指令进行解密之前，该方法还包括：该第二ECU确定该第一数字证书合法，且，该第一ECU为该第一数字证书的合法持有者。在第一ECU校验第二ECU的第二数字证书合法且第一ECU为该第二数字证书的合法持有者的情况下，该第一ECU才会和第二ECU进行交互，这样可以提高车辆系统内部的安全等级。

结合第一方面，在一些实施方式中，该第二ECU确定该第一数字证书合法，具体包括：该第二ECU确定该第一数字证书是由受信任的CA颁发的；或者，该第二ECU确定该第一数字证书是由受信任的CA颁发的，且在有效期内。

在一些实施方式中，在该第一私钥和该第一公钥为密钥对时，该第一ECU为该第一数字证书的合法持有者。

在一些实施方式中，该第一ECU还可以向该第二ECU发送第一签名，该第一签名为使用该第一私钥对随机数处理后得到；该第二ECU使用该第一公钥验证该第一签名；在验证结果和该随机数相同的情况下，该第一私钥和该第一公钥为密钥对。

结合第一方面，在一些实施方式中，该第一CA或该第二CA包括以下一项或多项：根CA、车厂CA、品牌CA、型号CA、车辆CA或域CA。

结合第一方面，在一些实施方式中，该第一ECU为车载T-box的ECU，该第二ECU为发动机的ECU；或者，该第二ECU为车载T-box的ECU。

第二方面，本申请提供了一种车载设备的控制方法，该方法应用于第二ECU，该第二ECU存储第二数字证书。该方法可以包括：该第二ECU接收到该第一ECU发送的第一数字证书；该第一ECU存储该第一数字证书和第一私钥，该第一数字证书包括第一公钥；该第二ECU接收到该第一ECU发送的使用该第一私钥加密的第一指令，该第一指令用于指示该第二ECU启动第一功能；该第二ECU使用该第一公钥对加密的该第一指令进行解密；该第二ECU根据第一CA和该第二CA中包含的相同CA的数量，确定该第二ECU允许访问的功能；该第一CA为颁发该第一数字证书的CA，该第二CA为颁发该第二数字证书的CA；该第一CA、该第二CA的数量均为多个；该第一CA和该第二CA中包含的相同CA的数量越多，该第二ECU允许访问的功能的数量越多；如果该第二ECU允许访问的功能包括该第一功能，则该第二ECU启动该第一功能；如果该第二ECU允许访问的功能不包括该第一功能，则该第二ECU拒绝启动该第一功能。

结合第二方面，在一些实施方式中，该第二ECU启动或拒绝启动该第一功能之后，该方法还包括：该第二ECU将启动该第一功能的结果发送给该第一ECU。这样可以便于第一ECU将该结果发送给车载设备中的显示器或者电子设备如手机，便于用户获知第二ECU启动第一功能的结果。

结合第二方面，在一些实施方式中，该第二ECU启动或拒绝启动该第一功能之后，该方法还包括：该第二ECU将启动该第一功能的结果发送给车载系统中的显示屏，以使得该显示屏显示提示信息，该提示信息用于指示该第二ECU启动该第一功能的结果。这样可以便于用户获知第二ECU启动第一功能的结果。

结合第二方面，在一些实施方式中，该第一ECU还存储有该第一证书链，该第二ECU还存储有该第二证书链；该第一证书链包括该第一CA的数字证书，该第二证书链包括该第二CA的数字证书；该方法还包括：该第二ECU接收到该第一ECU发送的该第一证书链，第二ECU根据双方证书链，来确定第一CA和第二CA的匹配程度。

结合第二方面，在一些实现方式中，该第二ECU使用该第一公钥对加密的该第一指令进行解密之前，该方法还包括：该第二ECU确定该第一数字证书合法，且，该第一ECU为该第一数字证书的合法持有者。在第二ECU校验第一ECU的第一数字证书合法且第二ECU为该第一数字证书的合法持有者的情况下，该第二ECU才会和第一ECU进行交互，这样可以提高车辆系统内部的安全等级。

在一些实施方式中，该第二ECU确定该第一数字证书合法，具体包括：该第二ECU确定该第一数字证书是由受信任的CA颁发的；或者，该第二ECU确定该第一数字证书是由受信任的CA颁发的，且在有效期内。

在一些实施方式中，该第二ECU确定该第一私钥和该第一公钥为密钥对之前，还可以接收到该第一ECU发送的第一签名，该第一签名为使用该第一私钥对随机数处理后得到；该第二ECU使用该第一公钥验证该第一签名；在验证结果和该随机数相同的情况下，该第一私钥和该第一公钥为密钥对。

结合第二方面，在一些实施方式中，该第一CA或该第二CA包括以下一项或多项：根CA、车厂CA、品牌CA、型号CA、车辆CA或域CA。

结合第二方面，在一些实施方式中，该第一ECU为车载T-box的ECU，该第二ECU为发动机的ECU；或者，该第二ECU为车载T-box的ECU。

第三方面，本申请提供了一种车载设备的控制方法，该方法应用于第一ECU，该第一ECU存储第一数字证书和第一私钥。该方法可以包括：该第一ECU向该第二ECU发送该第一数字证书，该第一数字证书包括第一公钥；该第一ECU向该第二ECU发送使用该第一私钥加密的第一指令，该第一指令用于指示该第二ECU启动第一功能；

结合第三方面，在一些实施方式中，该第一ECU可以在接收到来自电子设备的第一消息之后，响应于该第一消息向该第二ECU发送该第一数字证书。该第一消息用于指示该第二ECU启动该第一功能。

结合第三方面，在一些实施方式中，第二ECU还可以接收到该第二ECU发送的启动该第一功能的结果，并向该电子设备发送第二消息，该第二消息用于指示该第二ECU启动该第一功能的结果。这样可以使得电子设备输出该结果的提示信息，便于用户获知第二ECU启动第一功能的结果。

结合第三方面，在一些实施方式中，该第一ECU向该第二ECU发送使用该第一私钥加密的第一指令之前，该方法还包括：该第一ECU根据该第一CA和该第二CA中包含的相同CA的数量，确定该第一ECU允许访问的功能；该第一CA和该第二CA中包含的相同CA的数量越多，该第一ECU允许访问的功能的数量越多。在该第一ECU允许访问的功能包括指示该第二ECU启动该第一功能的情况下，该第一ECU向该第二ECU发送使用该第一私钥加密的第一指令。

结合第三方面，在一些实施方式中，该第一ECU还存储有第一证书链，该第二ECU还存储有第二证书链；该第一证书链包括该第一CA的数字证书，该第二证书链包括该第二CA的数字证书。该第一ECU还可以向该第二ECU发送该第一证书链。这样可以使得第二ECU根据双方证书链，来确定第一CA和第二CA的匹配程度。

结合第三方面，在一些实施方式中，该第一ECU向该第二ECU发送使用该第一私钥加密的第一指令之前，该方法还包括：该第一ECU确定该第二数字证书合法，且，该第二ECU为该第二数字证书的合法持有者。这样可以提高车辆系统内部的安全等级。

结合第三方面，在一些实施方式中，该第一ECU还可以向该第二ECU发送第一签名，该第一签名为使用该第一私钥对随机数处理后得到。这样可以使得第二ECU验证第一ECU是否是第一数字证书的合法持有者。

结合第三方面，在一些实施方式中，该第一ECU为车载T-box的ECU，该第二ECU为发动机的ECU；或者，该第二ECU为车载T-box的ECU。

第四方面，本申请提供了一种车辆系统，该车辆系统包括第一ECU和第二ECU，所述车辆系统用于执行如第一方面或第一方面任意一种实施方式所描述的方法。

第五方面，本申请提供了一种ECU，包括：安全芯片、一个或多个处理器和一个或多个存储器；所述安全芯片、所述一个或多个存储器与所述一个或多个处理器耦合；其中，所述安全芯片用于存储第二数字证书；所述一个或多个存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，当所述一个或多个处理器执行所述计算机指令时，使得所述ECU执行如第二方面或第二方面任意一种实施方式所描述的方法。

第六方面，本申请提供了一种ECU，包括：安全芯片、一个或多个处理器和一个或多个存储器；所述安全芯片、所述一个或多个存储器与所述一个或多个处理器耦合；其中，所述安全芯片用于存储第一数字证书；所述一个或多个存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，当所述一个或多个处理器执行所述计算机指令时，使得所述ECU执行如第三方面或第三方面任意一种实施方式所描述的方法。

第七方面，本申请提供了一种车机系统，包括如第五方面的ECU和通信接口，所述通信接口用于和互联网服务器通信。

第八方面，本申请提供了一种计算机存储介质，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行上述第二方面或第二方面任意一种实施方式所描述的方法。

第九方面，本申请提供了一种计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行上述第二方面或第二方面任意一种实施方式所描述的方法。

第十方面，本申请提供了一种计算机存储介质，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行上述第三方面或第三方面任意一种实施方式所描述的方法。

第十一方面，本申请提供了一种计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行上述第三方面或第三方面任意一种实施方式所描述的方法。

实施本申请提供的技术方案，利用数字证书来做ECU之间的安全认证，可以提高车辆系统的安全等级。此外，该方法无需区分主ECU和关键ECU，降低了对存储空间的要求。并且，ECU之间的安全方法中证书链匹配程度不同，ECU2可允许访问的功能不同，该方法避免了现有技术中认证结果单一性而导致的ECU资源浪费，节约成本及资源，提升用户体验。此外，一个车辆系统中的ECU被替换到其他车辆系统中后，该ECU还可以限制部分功能并继续运行，这样可以合理地再利用ECU，节约成本及资源，提升用户体验。

附图说明

图1为本申请实施例提供的车辆系统的结构示意图；

图2为本申请实施例提供的CA颁发数字证书的流程图；

图3为本申请实施例提供的数字证书颁发体系的结构图；

图4为本申请实施例提供的车载设备的控制方法的流程示意图；

图5A-5B为本申请实施例提供的在电子设备上实现的一组用户界面；

图6为本申请实施例提供的判断证书链的匹配程度的流程图；

图7A-7C为本申请实施例提供在电子设备上实现的一组用户界面；

图8A-8C为本申请实施例提供的在车辆系统上实现的一组用户界面。

具体实施方式

下面将结合附图对本申请实施例中的技术方案进行清楚、详尽地描述。其中，在以下实施例中所使用的术语只是为了描述特定实施例的目的，而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样，单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括复数表达形式，除非其上下文中明确地有相反指示。还应当理解，本申请实施例中“/”表示或的意思，“和/或”是指并包含一个或多个所列出项目的任何或所有可能组合。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征，在本申请实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请实施例的说明书和权利要求书及附图中的术语“用户界面(user interface，UI)”，是应用程序或操作系统与用户之间进行交互和信息交换的介质接口，它实现信息的内部形式与用户可以接受形式之间的转换。应用程序的用户界面是通过java、可扩展标记语言(extensible markup language，XML)等特定计算机语言编写的源代码，界面源代码在终端设备上经过解析，渲染，最终呈现为用户可以识别的内容，比如图片、文字、按钮等控件。控件(control)也称为部件(widget)，是用户界面的基本元素，典型的控件有工具栏(toolbar)、菜单栏(menu bar)、文本框(text box)、按钮(button)、滚动条(scrollbar)、图片和文本。界面中的控件的属性和内容是通过标签或者节点来定义的，比如XML通过<Textview>、<ImgView>、<VideoView>等节点来规定界面所包含的控件。一个节点对应界面中一个控件或属性，节点经过解析和渲染之后呈现为用户可视的内容。此外，很多应用程序，比如混合应用(hybrid application)的界面中通常还包含有网页。网页，也称为页面，可以理解为内嵌在应用程序界面中的一个特殊的控件，网页是通过特定计算机语言编写的源代码，例如超文本标记语言(hyper text markup language，HTML)，层叠样式表(cascading style sheets，CSS)，java脚本(JavaScript，JS)等，网页源代码可以由浏览器或与浏览器功能类似的网页显示组件加载和显示为用户可识别的内容。网页所包含的具体内容也是通过网页源代码中的标签或者节点来定义的，比如HTML通过<p>、<img>、<video>、<canvas>来定义网页的元素和属性。

用户界面常用的表现形式是图形用户界面(graphic user interface，GUI)，是指采用图形方式显示的与计算机操作相关的用户界面。它可以是在电子设备的显示屏中显示的一个图标、窗口、控件等界面元素，其中控件可以包括图标、按钮、菜单、选项卡、文本框、对话框、状态栏、导航栏、Widget等可视的界面元素。

目前，车辆系统中的各个ECU可以分为主ECU和关键ECU。主ECU的数量为一个，关键ECU的数量可以为多个。主ECU存储各个关键ECU的对称密钥，并通过背景技术中描述的方法来做验证。这种验证方式不仅安全等级低，而且主ECU需要较大的存储空间来存储多个关键ECU分别的对称密钥。此外，ECU的控制策略单一，主ECU对关键ECU的认证结果只有合法和非法两种情况，造成资源浪费，用户体验感差。

本申请以下实施例提供了车载设备的控制方法、车辆设备及车辆系统。在该方法中，车辆系统中的ECU1指示ECU2启动第一功能之前，双方要相互校验对方的数字证书的合法性，同时还要判断对方是否是数字证书的合法持有者。在双方相互确认对方的数字证书合法且对方为该数字证书的合法持有者时，ECU2根据双方证书链的匹配程度来确定ECU2可开放给ECU1使用的功能。如果第一功能包含在ECU2当前允许访问的功能中，则ECU2启动该第一功能。

实施本申请实施例提供的车载设备的控制方法，利用数字证书来做ECU之间的安全认证，可以提高车辆系统的安全等级。此外，该方法无需区分主ECU和关键ECU，降低了对存储空间的要求。并且，ECU之间的安全方法中证书链匹配程度不同，ECU2可允许访问的功能不同，该方法避免了现有技术中认证结果单一性而导致的ECU资源浪费，节约成本及资源，提升用户体验。此外，一个车辆系统中的ECU被替换到其他车辆系统中后，该ECU还可以限制部分功能并继续运行，这样可以合理地再利用ECU，节约成本及资源，提升用户体验。

本申请后续的方法实施例中将详细解释数字证书、数字证书的合法性、数字证书的合法持有者、证书链、ECU的可开放功能等概念，在此暂不赘述。

首先，介绍本申请实施例中的车辆系统。

图1为本申请实施例提供的车辆系统10的结构示意图。

如图1所示，车辆系统10可以包括多个ECU、连接多个ECU的CAN总线11。该多个ECU例如可以包括：发动机ECU12，车载盒子(telematics box，T-box)的ECU13，变速器ECU14，行车记录仪ECU15，防抱死系统(antilock brake system，ABS)ECU 16等。

CAN总线11是一个广播类型的总线，可以用于任意两个ECU之间传输数据。在CAN总线11上的任何ECU都可以监听到CAN总线11上传输的所有数据。CAN总线11传输的帧可以包含数据帧、远程帧、错误帧、过载帧，不同的帧传输不同类型的数据。在本申请实施例中，CAN总线11可用于传输ECU在安全认证以及控制过程中涉及到的数据，安全认证及控制过程可参考后文实施例的详细描述。

ECU又称“行车电脑”、“车载电脑”等，它和普通的电脑一样，包括即"ECU就是车的大脑"。在本申请以下实施例中，ECU也可以被称为车载设备、行车电脑、车载电脑或其他名词，这里不做限制。以下实施例将以ECU为例进行描述。

车辆系统10中的各个ECU都可以包括多个功能，下面详细介绍。

发动机ECU12用于管理发动机，协调发动机的各个功能，例如可用于启动发动机、关闭发动机等等。发动机是为车辆提供动力的装置。发动机是将某一种型式的能量转换为机械能的机器，其作用是将液体或气体燃烧的化学能通过燃烧后转化为热能，再把热能通过膨胀转化为机械能并对外输出动力。发动机组成部分可以包括曲柄连杆机构和配气机构两大机构，以及冷却、润滑、点火、燃料供给、启动系统等五大系统。主要部件有气缸体、气缸盖、活塞、活塞销、连杆、曲轴、飞轮等。发动机的工作原理是根据与发动机相连的传感器的反馈信号来控制燃油混合和点火正时。即以发动机的转速、负荷为基础，经过ECU计算和处理，向喷油器、供油泵等发送动作指令，使每一个汽缸都有最合适的喷油量、喷油率和喷油时间，保证每一个汽缸进行最佳的燃烧。

T-box ECU13用于管理T-box。T-box主要用于和后台系统/电子设备(例如手机)通信。在电子设备端还可以实现车辆控制与车辆信息的显示。

T-box也可以被称为车机系统、远程信息处理器、车辆网关等等，本申请实施例对此不作限制。

当用户通过电子设备端的车辆控制应用程序(application，APP)发送控制指令时，后台系统(例如服务器)将接收到的该控制指令转发到T-box ECU13。T-box ECU13在获取到控制指令后，通过CAN总线11发送控制报文，以实现对车辆的控制。例如，启动发动机、打开空调、调整座椅至合适位置、打开汽车门/窗/灯/锁/喇叭/天窗等，最后反馈操作结果给电子设备。此外，T-box ECU13还可以通过CAN总线11读取各个ECU的数据，例如获取车况报告、行车报告、油耗统计、违章查询、位置轨迹、驾驶行为等数据，并通过网络将数据传输到后台系统，由后台系统转发给电子设备，以供用户查看。

变速器ECU14用于管理变速器。变速器可以用来改变发动机的转速和转矩的机构，它能固定或分档改变输出轴和输入轴传动比。变速器组成部分可以包含变速传动机构、操纵机构以及动力输出机构等。变速传动机构的主要作用是改变转矩和转速的数值和方向；操纵机构的主要作用是控制传动机构，实现变速器传动比的变换，即实现换档，以达到变速变矩。

行车记录仪ECU15用于管理行车记录仪。行车记录仪组成部分可以包括主机、车速传感器、数据分析软件等。行车记录仪是指记录车辆行驶途中的影像及声音包括行车时间、速度、所在位置等相关资讯的仪器。在本申请实施例中，当车辆行驶时，车速传感器采集到车轮转速，并将车速信息通过CAN总线发送给行车记录仪。

ABS ECU16用于管理ECU。ABS是在车辆制动时，自动控制制动器制动力的大小，使车轮不被抱死，处于边滚边滑(滑移率在20％左右)的状态，以保证车轮与地面的附着力为最大值。在制动过程中，电子控制装置根据车轮转速传感器输入的车轮转速信号判定有车轮趋于抱死时，ABS就进入防抱死制动压力调节过程。

在本申请实施例中，各个ECU都存储有自己的私钥和数字证书。在一些实施例中，ECU还可以存储证书链。私钥、数字证书、证书链的详细解释将在后续实施例说明，在此暂不赘述。

在本申请实施例中的ECU之间可以进行安全认证。具体的，在车辆系统中的ECU1指示ECU2启动第一功能之前，双方要相互校验对方的数字证书的合法性，同时还要判断对方是否是数字证书持有者。在双方相互确认对方的数字证书合法且对方为该数字证书的合法持有者时，ECU2根据双方证书链的匹配程度来确定ECU2可开放给ECU1使用的功能。如果ECU1指示ECU2启动的第一功能包含在可允许访问的功能中，则ECU2启动第一功能。其中有关数字证书合法性、数字证书合法持有者、证书链匹配程度、ECU的可开放功能等概念将在后续实施例中详细说明。

ECU1、ECU2均可以是本申请实施例的车辆系统10中的任意一个ECU。

ECU1指示ECU2启动第一功能的场景例如可以包括：T-box ECU13控制发动机ECU12启动/关闭发动机，T-box ECU13控制变速器ECU14变速。

可以理解的是，本申请实施例示意的结构并不构成对车辆系统的具体限定。车辆系统可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

例如，不限于CAN总线，在其他一些实施例中，车辆系统的各个ECU可以通过其他方式来连接及通信。如，各个ECU还可以通过车载以太网(Ethernet)常用车载网络LIN、FlexRay及常用车载网络系统MOST(media oriented systems，MOST)总线等等，本申请实施例对此不做限制。以下实施例将以ECU之间通过CAN总线通信进行说明。

下面介绍本申请实施例提供的ECU的结构。

ECU可以由安全芯片、微处理器((microcontroller unit，MCU)、随机存取存储器(random access memory，RAM)、只读存储器(random-only memory，ROM)、输入/输出接口(I/O)、模拟/数字转换器(A/D转换器)以及输入、输出、整形、驱动等大规模集成电路组成。其中：

安全芯片用于存储ECU的数字证书和私钥。数字证书的详细解释可参考后续实施例的描述，这里暂不赘述。

A/D转换器是将模拟信号转成MCU可以处理的数字信号。传感器送出的信号大部分是模拟信号，A/D转换器的作用就是把经过输入回路的预处理过后的电压信号转换成数字信号，然后将转换后的数字信号送入MCU。

MCU，是ECU的中心。MCU根据需要把输入信号用内存程序和数据进行运算处理，并把处理结果送往输出回路。

RAM主要用来存储计算器操作时可变数据。例如用来存储计算机的输入、输出数据和计算机过程产生的中间数据等。当电源切断时，RAM数据均会消失。

ROM只能读出存储器，用来存储固定数据。例如厂家在车辆生产时一次性存入例如发动机喷油特性脉谱、点火特性脉谱等永久性存储的程序和数据。当电源切断时，ROM数据不会消失。

下面介绍本申请实施例涉及的数字证书、数字证书的合法性、数字证书的合法持有者、证书链等概念。

(1)数字证书

数字证书是指由数字证书颁发机构(certificate authority，CA)颁发的一种用于标识数字证书持有者身份信息的电子证书，它提供了一种验证通信对端身份的方式。

其中，CA是负责签发和管理数字证书的权威机构。CA作为网络中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，包括验证数字证书申请设备的身份，管理和更新数字证书，维护数字证书吊销列表(已被吊销的数字证书)等。CA有自己的私钥和公钥，其中私钥用来为申请设备的数字证书签名，公钥用以验证数字证书是否是该CA所颁发的数字证书，即验证该数字证书是否合法。

数字证书的格式可以遵循不同的国际标准，例如X.509v3(1997)、X509v4(1997)、X.509v1(1988)以及由国际电信联盟制定的TUTrec.x.509V3等，本申请实施例对此不作限制。

图2示出了CA颁发数字证书流程。如图2所示，该流程可包括如下步骤：

1，申请设备生成对称密钥，该对称密钥包括一对公钥和私钥。

申请设备可以使用非对称加密算法生成一对公钥和私钥，其中私钥由申请设备自己保管，公钥可以告知多人。在这里，对称密钥也可以由CA代为生成。

2，申请设备向CA申请数字证书。

具体的，申请设备将CA发送申请文件，申请文件包括申请设备的公钥、身份标识等信息。该申请文件用于向CA申请数字证书。

3，CA生成申请设备的数字证书，并颁发给该申请设备。

在一些实施例中，步骤3之前，CA还可以确认申请设备1的发送的申请文件无误。

CA根据申请设备发送的申请文件创建数字文档，该数字文档可以包括申请设备的公钥、身份标识、该数字文档的有效日期、数字证书颁发机构名称等。然后，CA使用摘要算法计算该“数字文档”得到数字摘要。其次，CA用自己的私钥对数字摘要、数字文档以及计算数字摘要所使用的摘要算法签名以生成数字证书，数字证书签名过程相当于为数字证书中的内容进行“上锁”，以便证明数字证书是由CA颁发的。最后，将生成数字证书颁发给申请设备。其中，有效日期一般为自数字证书颁发日起的1-5年不等。

显然地，申请设备接收到的数字证书可包括：数字证书序列号、数字证书有效期、数字证书持有者的身份标识、数字证书持有者公钥以及颁发数字证书的CA的标识等信息。CA的标识例如可以是该CA的名称、编号等等。

申请设备接收到CA颁发的数字证书后，即可在通信过程中使用该数字证书进行身份认证，为通信双方提供安全可靠的通信。具体的，每个数字证书持有者都拥有一把仅为本人所知的私钥，用它进行解密和签名。同时拥有一把公钥并可以对外公开，用于加密和签名验证。当发送数据时，发送者使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密。这样，数据就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。

(2)数字证书的合法性

在一些实施例中，由受信任的权威CA颁发的数字证书为合法的数字证书，为合法的数字证书。

在另一些实施例中，由受信任的权威CA颁发且在有效期内的数字证书为合法的数字证书。

在本申请实施例中，可通过数字签名的方式来验证数字证书是否是由受信任的权威CA颁发的。具体的，验证方接收到数字证书后，可以使用数字证书中携带的权威CA对应的公钥对数字证书签名验证后得到数字摘要、摘要算法、数字文档。之后，验证方使用摘要算法计算数字文档得到新数字摘要，将该数字摘要与数字证书中的数字摘要进行对比。如果对比结果一致，则说明该数字证书的签名验证通过，该数字证书是该CA颁发的数字证书，即该数字证书合法。在其他一些实施例中，验证方还可进一步确认该数字证书是否在有效期内，若该数字证书是权威CA颁发的且在有效期内，则该数字证书合法。

(3)数字证书的合法持有者

申请设备向CA成功申请数字证书后，该申请设备成为该数字证书的合法持有者。

在后续过程中，该申请设备的数字证书可能被其他非法用户盗取、篡改等等，该其他非法用户不是该数字证书的合法持有者。显然地，数字证书的合法持有者只有一个。

申请设备申请数字证书时的私钥只有该申请设备拥有，因此，可以通过私钥来确认数字正式的合法持有者。具体的，如果对方拥有该私钥，则对方为数字证书的合法持有者。具体实现中，验证方可以向被验证方发送一个随机数，被验证方使用自己的私钥对该随机数加密后得到返回值，并将返回值发送给验证方。验证方使用被验证方公开的公钥对该随机数进行加密，若加密结果和返回值一致，则说明被验证方拥有其数字证书携带的公钥所对应的私钥，即被验证方是该数字证书的合法持有者。

在本申请实施例中，通信的两个ECU之间确认对方的数字证书合法且对方为该数字证书的合法持有者后，可以使用该数字证书来对传输的信息进行加密和解密，确保车辆系统中ECU之间传递信息的机密性、真实性。利用数字证书对信息进行加解密的过程可参考后续方法实施例的相关描述。

(4)本申请实施例提供的数字证书颁发体系

图3是本申请实施例提供的用于给车辆系统中各ECU颁发数字证书的体系的结构图。

如图3所示，本申请实施例的数字证书颁发体系采用多层次的分级结构。本申请对数字证书颁发体系的层级数量不作限制。

示例性地，车厂基于车辆信息构建的CA系统由上至下可以包括几层：根CA(Root CA)、车厂CA、品牌CA、型号CA、车辆CA、域CA。根CA有且仅有一个，车厂CA、品牌CA、型号CA、车辆CA、域CA均可以为一个或多个。具体数目可以根据车厂生产车辆信息构建，本申请对数字证书颁发体系每一层级的CA数量不做限制。

其中根CA是处于该数字证书办法系统中最顶端树根的位置，根CA是整个CA体系中最权威的第三方数字证书颁发机构。例如，在整个数字证书体系中，根CA可以自己给自己颁发数字证书(根证书)，即根CA可以自己证明自己的合法身份。

每一层级的CA都可以使用自己的私钥向下一层的CA颁发数字证书，从而一层一层往下颁发，最终向ECU颁发数字证书。根CA为车厂1CA颁发数字证书即代表根CA信任车厂1CA，车厂1CA为品牌1CA颁发数字证书即代表车厂1CA信任品牌1CA，以此传递信任关系。

每一个CA向下一层的CA或ECU颁发数字证书的过程可参考图2，这里不再赘述。

例如，根CA可以用自己的私钥为下一层级的车厂CA(例如车厂1CA和车厂2CA)颁发数字证书，车厂CA获取到根CA颁发的数字证书即说明该车厂CA是受信任的。类似的，受信任的车厂CA(例如车厂1CA)可以为下一层级的品牌CA(例如品牌1CA、品牌2CA和品牌3CA)颁发数字证书。以此类推，受信任的品牌CA(例如品牌1CA)可以为下一层级的型号CA颁发数字证书，…，车辆CA(例如车辆1CA)可以为该车辆系统中的ECU(例如安全域1CA和安全域2CA)颁发数字证书，域CA(例如安全域1CA和其他域1CA)可以为该安全域管辖内的ECU颁发数字证书。

图3所示的CA层级结构以及设置方式仅为示例，可以包括更多或更少的层级。例如，在根CA和ECU之间可以包括安全域CA，也可以不包括安全域CA。

(5)证书链

基于图3所示的数字证书颁发体系结构图，接下来介绍基于该数字证书颁发体系建立的证书链。

每个拥有数字证书的设备都对应一个对应的证书链。证书链是一个有序的证书列表。在本申请实施例中，ECU的证书链中包含：该ECU的数字证书，和，颁发该数字证书涉及的全部CA的数字证书。证书链的存在方便了接收方能够验证发送者和发送者的证书链中所有CA是否值得信任。证书链由以下三个部分构成：根证书、中介证书和ECU的数字证书。其中：

根证书是指根CA用自己的私钥为自己签名并颁发的数字证书。根证书签名验证要用根CA的公钥。

中介证书是指根CA用自己的私钥为中介CA签名并颁发的数字证书。中介证书的签名验证要用根CA的公钥。中介证书里面包含了根证书的名称。中介CA为数字证书的颁发系统中，除根CA以外的其他层级的CA，例如车厂CA、品牌CA、型号CA、车辆CA和域CA。

ECU数字证书是指用上一层级的中介CA(域CA)的私钥签名并颁发的数字证书。ECU数字证书的签名验证需要使用域CA的公钥。ECU可以保存证书链，也可以在使用证书链时再通过查询获取证书链。

在本申请实施例提供的证书链中，根CA是整个CA系统中最权威可靠的数字证书颁发中心，也是证书链的起点。根CA的数字证书签发者就是自己本身。在多层级的中介CA中，除最高层级的中介CA的数字证书由根CA颁发外，其他中间层级的中介CA的数字证书需要用上一层级的中介CA的私钥签发，并用上一层级中介CA相应的公钥验证数字证书的合法性。

在本申请实施例中，在验证ECU数字证书的合法性时，需要一步步溯源到根证书。具体的，首先确认该数字证书是上一层CA(例如安全域1CA)颁发的合法数字证书，然后确认该上一层CA(例如安全域1CA)的合法性，...，以此类推，一直确认到ECU数字证书的原始颁发者(即根CA)的合法性。若该根CA是受信任的权威CA，则该ECU数字证书是合法的数字证书。

基于前文图1描述的车辆系统10、图2所示的数字证书的颁发过程、图3描述的数字证书颁发体系，下面描述本申请实施例提供的车载设备控制方法。

在该方法中，车辆系统中的ECU1指示ECU2启动第一功能之前，双方要相互校验对方的数字证书的合法性，同时还要判断对方是否是数字证书持有者。在双方相互确认对方的数字证书合法且对方为该数字证书的合法持有者时，ECU2根据双方证书链的匹配程度来确定ECU2可开放给ECU1使用的功能。如果该第一功能包含在ECU2当前可允许访问的功能中，则ECU2启动该第一功能。

其中，ECU1、ECU2均可以是本申请实施例的车辆系统10中的任意一个ECU。例如，ECU1可以为T-box ECU13，ECU2可以为发动机ECU12。

ECU1和ECU2各自存储有自己的数字证书和私钥。ECU1的私钥称为私钥1，ECU2的私钥称为私钥2。

在本申请实施例中，ECU的数字证书包括：该ECU的公钥、颁发该数字证书的CA的标识。在一些实施例中，ECU的数字证书中还可包括：数字证书的有效期、序列号或持有者的身份标识等信息。ECU获取数字证书的过程可参考前文图2、图3以及相关描述。

参考图4，图4是本申请实施例提供的车载设备控制方法的流程图。

如图4所示，该方法可包括以下步骤：

S100-S108，ECU1和ECU2之间的双向认证过程。

ECU1和ECU2认证的内容包括验证对方数字证书的合法性、验证对方是数字证书合法持有者。在数字证书合法且对方为该数字证书的合法持有人时，可以确认该数字证书是受信任的权威CA颁发的，并且该数字证书不是第三方假冒的。只有双方数字证书合法，且对方是数字证书合法持有者，ECU之间才能基于该数字证书进行安全通信。其中，验证数字证书合法性和数字证书合法持有者的概念可以参考上文的详细说明。

S100，ECU1接收到第一消息，该第一消息用于指示ECU2启动第一功能。

第一消息可以是车辆系统10内的其他ECU发送给ECU1的，也可以是由外部设备发送给ECU1的，这里不作限制。

例如，当ECU1为T-box ECU13时，用户可以通过电子设备上安装的应用程序(application，APP)或者电脑端上的网页远程控制ECU1。具体的，电子设备可响应于用户操作向服务器发送远程控制指令，服务器将该远程控制指令转发至ECU1，ECU1接收到的该远程控制消息即为第一消息。这里，该服务器用于提供远程车辆控制服务。

下面结合本申请实施例提供的用户界面，解释ECU1接收到第一消息的场景。

图5A-图5B示例性示出了电子设备(例如手机)上实现的用户界面。

图5A示出了电子设备显示的用户界面300。如图5A所示，用户界面300中显示有：状态栏、具有常用应用程序图标的托盘、页面指示符、其他应用程序图标等等。不限于此，图5A所示的用户界面300还可包括导航栏、侧边栏等等。在一些实施例中，图5A示例性所示的用户界面300可以为主界面(Home screen)。

如图5A所示，其他应用程序图标例如可包括用于管理车辆的应用程序(例如“车辆通”)图标301等等。

如图5A所示，电子设备可以检测到作用于图标301上的用户操作(例如点击操作、触摸操作等等)，并响应于该用户操作，启动该图标301对应的用于管理车辆的应用程序(例如“车辆通”)，并显示该应用程序提供的用户界面400。

图5B示出了用户界面400的一种实现形式。用户界面400用于远程管理车辆。

如图5B所示，用户界面400中显示有：搜索栏410、控件420、常用控件431-433、控件440、信息展示栏450、菜单栏460。

搜索栏410可用于监听触摸操作、点击操作等，响应于该操作，电子设备可显示虚拟键盘，以使得用户输入想要搜索的内容。

控件420用于监听用户操作(例如点击操作、触摸操作等等)，电子设备可响应于该用户操作，显示更多的功能控件，例如开启/关闭空调的控件、开启/关闭车内灯光的控件等等。

控件431可用于监听用户操作，响应于该用户操作，电子设备可通过服务器向车辆系统中的T-box ECU13发送指示开启/关闭发动机的消息。

控件432可用于监听用户操作，响应于该用户操作，电子设备可通过服务器向车辆系统中的T-box ECU13发送指示开启/关闭窗的消息。

控件433可用于监听用户操作，响应于该用户操作，电子设备可通过服务器向车辆系统中的T-box ECU13发送指示开启/关闭车门的消息。

控件440用于监听用户操作(例如点击操作、触摸操作等等)，电子设备可响应于该用户操作，显示更多的车辆信息，例如油量、今日跑量等等。

信息展示栏450可以包括：停车地点451、停车时间452、电子设备距离停车地距离453、导航信息454等等。

菜单栏可供用户切换不同页面以进行不同功能的操作。

结合图5B所述的用户界面400，S100中ECU1接收到的第一消息例如可以是：

(1)电子设备在控件431上检测到用户操作(例如点击操作、触摸操作等)，响应该操作向服务器发送用于开启/关闭发动机的控制指令后，由该服务器向T-box ECU13发送的用于开启/关闭发动机的控制指令。这里，T-box ECU13为ECU1，发动机ECU12为ECU2，第一功能为启动或关闭发动机。

(2)电子设备在控件432上检测到用户操作(例如点击操作、触摸操作等)，响应该操作向服务器发送用于开启/关闭车窗的控制指令后，由该服务器向T-box ECU13发送的用于开启/关闭车窗的控制指令。这里，T-box ECU13为ECU1，车身控制单元(body control module，BCM)为ECU2，第一功能为启动或关闭车窗。

(3)电子设备在控件433上检测到用户操作后(例如点击操作、触摸操作等)，响应该操作向服务器发送用于开启/关闭车门的控制指令后，由该服务器向T-box ECU13发送的用于开启/关闭车门的控制指令。这里，T-box ECU13为ECU1，BCM为ECU2，第一功能为启动或关闭车门。

S101，ECU1向ECU2发送报文a，报文a包括：ECU1的数字证书1、随机数r1。

具体的，本申请实施例中ECU1和ECU2通信时传输的报文均通过CAN总线11传输。

在本申请实施例中，ECU1和ECU2之间通信时传输的报文中均包含有发送方的标识和接收方的标识。由于CAN总线11上的所有ECU均能够收到在该CAN总线11上传输的报文，因此ECU收到报文后，可以通过发送方的标识获知该报文的发送方，通过接收方的标识获知该报文的接收方。例如，报文a中可包含ECU1的标识1和ECU2的标识2。其中，标识1或标识2均可以是一串数字、字母、符号的组合，例如可以为序列号、编号、名称等等。

为了描述简洁，后续实施例将不再解释报文中携带的发送方的标识和接收方标识。

在报文a中，数字证书1的颁发过程可参考前文对图2、图3的描述。数字证书1中包括：该ECU1的公钥、颁发该数字证书1的CA(例如安全域1CA)的标识。在一些实施例中，数字证书1中还可包括：数字证书1的有效期、序列号或持有者的身份标识等信息。

随机数r1可以由ECU1生成，也可以是已经约定的数字证书1或标识1中的某一个数字。

S102，ECU2验证数字证书1的合法性。

ECU1发送报文a后，CAN总线上的全部ECU均可以接收到该报文a。

具体的，ECU2接收到报文a后，使用颁发数字证书1的CA的公钥对数字证书1进行签名验证，若验证通过则说明数字证书1是合法的。ECU2验证数字证书1时，需要追溯到根证书。ECU2验证数字证书1的合法性的具体方式可参考前文关于数字证书的合法性、证书链的相关描述。

S103，ECU2确认数字证书1合法后，向ECU1回复报文b。报文b中包括：数字证书2、随机数r2、签名2。签名2是ECU2用自己的私钥2对随机数r1做的签名。

数字证书2的颁发过程可参考前文对图2、图3的描述。数字证书2中包括：该ECU2的公钥、颁发该数字证书2的CA(例如安全域1CA)的标识。在一些实施例中，数字证书2中还可包括：数字证书2的有效期、序列号或持有者的身份标识等信息。

随机数r2可以由ECU2生成，也可以是已经约定的数字证书2或标识2中的某一个数字。

签名2是ECU2用自己的私钥2对随机数r1做的签名，即通过算法对私钥2和随机数R1做处理。

S104，ECU1验证数字证书2的合法性。

具体的，ECU1可使用颁发数字证书2的CA的公钥对数字证书2进行签名验证，若验证通过则说明数字证书2是合法的。

S105，ECU1验证ECU2是否是数字证书2的合法持有者。

具体的，ECU1使用数字证书2携带的公钥2对签名2进行签名验证，若签名验证结果和S101中的随机数r1一致，则说明数字证书2携带的公钥2与私钥2是一对密钥，即ECU2是数字证书2的合法持有者。

S106，ECU1在确定数字证书2合法且ECU2为数字证书2的合法持有者后，向ECU2发送报文c，报文c中包括：ECU1的签名1。

签名1可以是ECU1使用自己的私钥1对随机数r2做的签名，也可以是对随机数r1和随机数r2同时做的签名。

可理解的，ECU1执行S106，即ECU1对ECU2的验证结果为：数字证书2合法且ECU2为数字证书2的合法持有者。

S107，ECU2验证ECU1是否为数字证书1的合法持有者。

ECU2验证ECU1是否为数字证书1合法持有者的过程可以参考步骤S105。

具体的，ECU2使用数字证书1携带的公钥1对签名1进行签名验证，若签名验证结果和S103中的随机数r2一致，或者，签名验证结果和随机数r2及r1一致，则说明数字证书1携带的公钥1与私钥1是一对密钥，即ECU1是数字证书1的合法持有者。

S108，ECU2向ECU1发送报文d。报文d中包括：ECU2对ECU1的认证结果。

报文d中ECU2的标识2用于指示报文d的发送方为ECU2，ECU1的标识1用于指示报文d是发送给ECU1的。

这里，ECU2对ECU1的安全认证结果可以有2种：数字证书1合法且ECU1是数字证书1的合法持有者、数字证书1合法但ECU1不是数字证书1的合法持有者。

除第一种验证结果为验证通过以外，其他验证结果均属于验证不通过。

通过上述步骤S100-S108，如果ECU2对ECU1的验证结果为数字证书1合法且ECU1是数字证书1的合法持有者，则ECU1和ECU2之间完成了双向认证过程。若双向认证失败，则ECU1和ECU2后续不会再通信。

在其他一些实施例中，上述步骤S101-S108可以被替换为：

ECU1向ECU2发送数字证书1、随机数r1、使用私钥1对随机数r1做的签名；

ECU2验证数字证书1的合法性，并且，验证ECU1是否是数字证书1的合法持有者；

在确定数字证书1合法且ECU1为数字证书1的合法持有者后，ECU2向ECU1发送数字证书2、随机数r2、使用私钥2对随机数r2做的签名；

ECU1验证数字证书2的合法性，并且，验证ECU2是否是数字证书2的合法持有者；

ECU1向ECU2发送对ECE的认证结果。

这里，ECU1对ECU2的安全认证结果可以有4种：数字证书2合法且ECU2是数字证书2的合法持有者、数字证书2合法但ECU2不是数字证书2的合法持有者、数字证书2不合法且ECU2不是数字证书2的合法持有者、ECU2是数字证书2的合法持有者但数字证书2不合法。

通过上述替换步骤，可以使得ECU1和ECU2之间的双向认证过程更为简洁，减少双方的交互流程，节约资源。

在本申请实施例中，ECU1和ECU2之间双向认证成功，即ECU1和ECU2的身份信息可以保证真实性，ECU1和ECU2之间可以进行进一步的通信，参考以下步骤S109-112。

可理解的，本申请实施例不限定上述S101-S108的执行顺序，只要ECU1在指示ECU2启动第一功能前完成对ECU的安全认证，且ECU2在根据该指示启动或拒绝第一功能前完成对ECU1的安全认证即可。

可理解的，ECU1和ECU2之间可以执行一次S101-S108之后，记录对对方的安全认证结果，这样在后续的其他ECU1和ECU2的交互过程中，就可以不用再次执行S101-S108所示的双向认证过程了。

不限于图4所示的ECU1在接收到第一消息时触发ECU1和ECU2之间的双向认证过程，在其他实施例中，ECU1和ECU2还可以周期性进行该双向认证过程，本申请实施例对此不作限制。

S109-S112，ECU1指示ECU2启动第一功能。

S109，ECU1向ECU2发送报文e。报文e中包括使用私钥1加密的第一指令，第一指令用于指示ECU2启动第一功能。

在一些实施例中，ECU1可以先使用哈希(hash)算法对第一指令进行计算，然后在使用私钥1对该第一指令进行加密。hash算法可以压缩第一指令的大小，提高通信效率。

本申请实施例对S109和S100-S108的先后顺序不作限制。

S110，ECU2收到报文e后，使用数字证书1中携带的公钥1对报文e进行解密，获取第一指令。

S111，ECU2根据双方证书链的匹配程度，确定当前ECU2允许访问的功能。

各个ECU可以预先存储自己的证书链，也可以从网络中查询自己的证书链，本申请实施例不作限制。也就是说，ECU2可以从本地获取到自己的证书链，也可以从网络中查询到自己的证书链。

ECU2还可以从ECU1处获取ECU1的证书链，或者，从网络中查询到ECU2的证书链。在一些实施例中，ECU1的证书链可以携带在上述S101、S106、S109中任意一个ECU1发送给ECU2的报文中，例如报文a、报文c或报文e中。在一些实施例中，ECU2获取到ECU1的证书链后，可以存储该ECU1的证书链。

双方证书链的匹配程度具体是指，双方证书链包含的相同CA(包括根CA和中介CA)的个数。双方证书链包含的相同CA的数量越多，匹配程度越高。

参考图6，图6示例性输出了ECU2判断双方证书链匹配程度的流程。如图所示，ECU2 由根CA开始，逐层往下判断双方CA是否相同，最终得到匹配程度的结果。匹配程度的结果例如可包括：

1、双方的根CA不同。即数字证书1和数字证书2是由不同的根CA颁发的。

2、双方的根CA相同，但车厂CA不同。即，数字证书1和数字证书2是由同一根CA、不同的车厂CA颁发的。也即是说，ECU1和ECU2属于不同的车厂。

3、双方的根CA、车厂CA相同，但品牌CA不同。即，ECU1和ECU2属于不同的品牌。

4、双方的根CA、车厂CA、品牌CA相同，但型号CA不同。即，ECU1和ECU2属于不同型号。

5、双方的根CA、车厂CA、品牌CA、型号CA相同，但车辆CA不同。即，ECU1和ECU2属于不同车辆。

6、双方的根CA、车厂CA、品牌CA、型号CA、车辆CA相同，但域CA不同。即，ECU1和ECU2属于不同域。

7、双方的根CA、车厂CA、品牌CA、型号CA、车辆CA、域CA相同。即，ECU1和ECU2属于同一域，ECU1和ECU2完全匹配。

在本申请实施例中，双方证书链的匹配程度越高，ECU2允许访问的功能的数量越多。ECU2允许访问的功能是指：ECU2所具备的功能中，当前可以开放的功能或者被授权使用的功能。

参考表1和表2，表1以ECU2为发动机ECU为例，示例性示出了双方匹配程度不同时，发动机ECU允许访问的功能。表2以ECU2为T-box ECU为例，示例性示出了双方匹配程度不同时，T-box ECU允许访问的功能。

编号	匹配结果	ECU2(发动机ECU)允许访问的功能
1	不同根CA	无
2	不同车厂	无
3	不同品牌	无
4	不同型号	启动、关闭
5	不同车辆	启动、关闭
6	不同域	启动、关闭
7	相同域	启动、关闭

表1

表2

在一些实施例中，在双方证书链的匹配程度不同时，ECU受到限制的功能可以分为两类：ECU独立完成的功能(例如发动机ECU的启动功能或关闭功能)，和，ECU和其他设备交互完成的功能(例如T-box ECU根据远程指令控制其他ECU的功能)。

在一些实施例中，ECU1在执行S109之前，也可以根据双方的证书链的匹配程度确定ECU1允许访问的功能，并在“指示ECU2启动第一功能”这一项为当前ECU1允许访问的功能时，才执行S109。

S112，如果当前ECU2允许访问的功能包含第一指令指示的第一功能，则ECU2启动该第一功能，如果当前ECU2允许访问的功能不包含第一指令指示的第一功能，则ECU2拒绝启动该第一功能。

例如，若ECU2为发动机ECU，第一功能为启动发动机，且ECU1和ECU2的证书链完全匹配，则ECU2(即发动机ECU)启动发动机。

可选步骤S113，ECU2使用私钥2加密报文f，并将报文f发给ECU1。报文f中包括：第一功能的执行结果。

第一功能的执行结果可以为成功或者失败。

通过S113，ECU2可以通过公钥2解密报文f，从而获知ECU1执行第一功能的结果。

可选步骤S114，ECU1向电子设备发送第二消息，第二消息用于指示第一功能的执行结果。

具体的，ECU1可向服务器发送远程指令，该远程指令携带第一功能的执行结果。之后，由服务器将该远程指令发送给电子设备，电子设备接收到的该远程指令即为第二消息。

在一些实施例中，当ECU2启动第一功能失败时，第二消息还可进一步携带ECU1和ECU2双方证书链的匹配程度结果。这样可以便于后续用户获知ECU2启动第一功能失败的原因。

可选步骤S115，电子设备接收到第二消息，输出提示信息，该提示信息用于指示ECU1对第一功能的执行结果。

电子设备输出的提示信息可以包括但不限于：在用户界面上显示的可视化界面元素、音频、闪光灯或振动等等。

参考图7A-图7C，其示例性示出了电子设备在用户界面400中显示的提示信息。

如图7A所示，当ECU1成功启动第一功能时，用户界面400中可以显示有提示信息701。该提示信息701例如可以为文本(例如“成功启动发动机”)、图标、动画等等。

如图7B所示，当ECU1启动第一功能失败时，用户界面400中可以显示有提示信息702。该提示信息702例如可以为文本(例如“启动发动机失败，错误代码00001”)、图标、动画等等。这样，用户可通过查询车辆说明书中的代码解释，获知ECU1启动第一功能失败的原因。在其他一些实施例中，用户界面400中还可显示有控件703，控件703可用于监听用户操作，电子设备可响应于该用户操作显示启动失败的原因，例如显示如图7C所示的ECU1和ECU2的证书链匹配结果704。

可选步骤S116，车辆系统输出提示信息，该提示信息用于指示ECU1对第一功能的执行结果。

本申请实施例对S116和S114、S115的先后顺序不做限定。

具体的，ECU1获知ECU2对第一功能的执行结果后，可以将该执行结果通知到车辆系统内的相关设备，以使得相关设备输出提示信息。车辆系统输出的提示信息可以包括但不限于：在显示屏上显示的可视化界面元素、音频设备输出的音频、灯具输出的灯光、仪表盘输出的数据等等。

参考图8A-图8C，其示例性示出了车辆系统在显示屏(例如导航设备提供的显示屏)上显示的用户界面500。

如图8A所示，当ECU1成功启动第一功能时，用户界面500中可以显示有提示信息801。该提示信息801例如可以为文本(例如“成功启动发动机”)、图标、动画等等。

如图8B所示，当ECU1启动第一功能失败时，用户界面500中可以显示有提示信息802。该提示信息802例如可以为文本(例如“启动发动机失败，错误代码00001”)、图标、动画等等。这样，用户可通过查询车辆说明书中的代码解释，获知ECU1启动第一功能失败的原因。在其他一些实施例中，用户界面500中还可显示有控件803，控件803可用于监听用户操作，电子设备可响应于该用户操作显示启动失败的原因，例如显示如图8C所示的ECU1和ECU2的证书链匹配结果804。

不限于本申请上述实施例提供的ECU1指示ECU2启动第一功能之前，双方进行安全认证，在其他一些实施例中，主ECU在启动自身功能之前，也可以对其他关键ECU进行安全认证，并根据自身和其他关键ECU之间的证书链的匹配程度来确定是否启动该功能。

例如，主ECU可以为发动机ECU，关键ECU可包括T-box ECU。车辆系统接收到启动发动机的操作(例如用户点火的操作)时，发动机ECU可以对T-box发起安全认证。如，发动机ECU可以向T-box ECU发送随机数，然后由T-box回复自己的数字证书和使用自己的私钥对该随机数做的签名，以使得发动机ECU可以对T-box ECU做安全认证。发动机ECU对T-box ECU的安全认证通过后，发动机ECU可以根据自己和T-box ECU双方证书链的匹配程度，确定是否启动发动机。

这样可以在主ECU工作时，查看关键ECU是否被篡改或盗窃，可以保证行车安全。

在本申请实施例中，ECU1可以被称为第一ECU，ECU2可以被称为第二ECU。

数字证书1可以被称为第一数字证书，数字证书2可以被称为第二数字证书。

公钥1可以被称为第一公钥，公钥2可以被称为第二公钥。

私钥1可以被称为第一私钥，私钥2可以被称为第二私钥。

颁发数字证书1的各个CA可以被称为第一CA，颁发数字证书2的各个CA可以被称为第二CA。

实施本申请实施例提供的车载设备的控制方法，利用数字证书实现ECU之间的安全通信，可以提高车辆系统的安全等级。此外，该方法无需区分主ECU和关键ECU，降低了对存储空间的要求。并且，ECU之间的安全方法中证书链匹配程度不同，ECU2可允许访问的功能不同，该方法避免了现有技术中认证结果单一性而导致的ECU资源浪费，节约成本及资源，提升用户体验。此外，一个车辆系统中的ECU被替换到其他车辆系统中后，该ECU还可以限制部分功能并继续运行，这样可以合理地再利用ECU，节约成本及资源，提升用户体验。

例如，同一型号车辆之间可以互换设备，这样如果用户需要跟换某车载设备时，不一定必须要求返厂更换或者维修，这为用户为厂家提供了方便。又例如，某一车辆报废，但是车主可以将报废车辆中可用的车载设备更换到其他车辆中，既节约成本也节约资源。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由计算机程序来指令相关的硬件完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。

总之，以上所述仅为本发明技术方案的实施例而已，并非用于限定本发明的保护范围。凡根据本发明的揭露，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种车载设备的控制方法，其特征在于，所述方法应用于包括第一电子控制单元ECU和第二ECU的车辆系统，所述第一ECU存储第一数字证书和第一私钥，所述第二ECU存储第二数字证书；所述方法包括：

所述第一ECU向所述第二ECU发送所述第一数字证书，所述第一数字证书包括第一公钥；

所述第一ECU向所述第二ECU发送使用所述第一私钥加密的第一指令，所述第一指令用于指示所述第二ECU启动第一功能；

所述第二ECU使用所述第一公钥对加密的所述第一指令进行解密；

所述第二ECU根据第一颁发机构CA和所述第二CA中包含的相同CA的数量，确定所述第二ECU允许访问的功能；所述第一CA为颁发所述第一数字证书的CA，所述第二CA为颁发所述第二数字证书的CA；所述第一CA、所述第二CA的数量均为多个；所述第一CA和所述第二CA中包含的相同CA的数量越多，所述第二ECU允许访问的功能的数量越多；

如果所述第二ECU允许访问的功能包括所述第一功能，则所述第二ECU启动所述第一功能；如果所述第二ECU允许访问的功能不包括所述第一功能，则所述第二ECU拒绝启动所述第一功能。
根据权利要求1所述的方法，其特征在于，所述第一ECU向所述第二ECU发送所述第一数字证书之前，所述方法还包括：

所述第一ECU接收到来自电子设备的第一消息，所述第一消息用于指示所述第二ECU启动所述第一功能。
根据权利要求1或2所述的方法，其特征在于，所述第二ECU启动或拒绝启动所述第一功能之后，所述方法还包括：

所述第二ECU将启动所述第一功能的结果发送给所述第一ECU；

所述第一ECU向所述电子设备发送第二消息，所述第二消息用于指示所述第二ECU启动所述第一功能的结果。
根据权利要求1-3任一项所述的方法，其特征在于，所述车辆系统还包括显示屏，所述第二ECU启动或拒绝启动所述第一功能之后，所述方法还包括：

所述显示屏显示提示信息，所述提示信息用于指示所述第二ECU启动所述第一功能的结果。
根据权利要求1-4任一项所述的方法，其特征在于，所述第一CA或所述第二CA包括以下一项或多项：根CA、车厂CA、品牌CA、型号CA、车辆CA或域CA。
根据权利要求1-5任一项所述的方法，其特征在于，

所述第一ECU为车载T-box的ECU，所述第二ECU为发动机的ECU；或者，

所述第二ECU为车载T-box的ECU。
根据权利要求1-6任一项所述的方法，其特征在于，所述第一ECU向所述第二ECU 发送使用所述第一私钥加密的第一指令之前，所述方法还包括：所述第一ECU根据所述第一CA和所述第二CA中包含的相同CA的数量，确定所述第一ECU允许访问的功能；所述第一CA和所述第二CA中包含的相同CA的数量越多，所述第一ECU允许访问的功能的数量越多；

所述第一ECU向所述第二ECU发送使用所述第一私钥加密的第一指令，具体包括：在所述第一ECU允许访问的功能包括指示所述第二ECU启动所述第一功能的情况下，所述第一ECU向所述第二ECU发送使用所述第一私钥加密的第一指令。
根据权利要求1-7任一项所述的方法，其特征在于，所述第一ECU还存储有第一证书链，所述第二ECU还存储有第二证书链；所述第一证书链包括所述第一CA的数字证书，所述第二证书链包括所述第二CA的数字证书；

所述第二ECU确定所述第二ECU允许访问的功能之前，所述方法还包括：

所述第一ECU向所述第二ECU发送所述第一证书链；

所述第二ECU根据所述第一证书链和所述第二证书链，确定第一CA和所述第二CA中包含的相同CA的数量。
根据权利要求1-8任一项所述的方法，其特征在于，所述第一ECU向所述第二ECU发送使用所述第一私钥加密的第一指令之前，所述方法还包括：

所述第一ECU确定所述第二数字证书合法，且，所述第二ECU为所述第二数字证书的合法持有者。
根据权利要求1-9任一项所述的方法，其特征在于，所述第二ECU使用所述第一公钥对加密的所述第一指令进行解密之前，所述方法还包括：

所述第二ECU确定所述第一数字证书合法，且，所述第一ECU为所述第一数字证书的合法持有者。
根据权利要求10所述的方法，其特征在于，所述第二ECU确定所述第一数字证书合法，具体包括：

所述第二ECU确定所述第一数字证书是由受信任的CA颁发的；

或者，

所述第二ECU确定所述第一数字证书是由受信任的CA颁发的，且在有效期内。
根据权利要求10或11所述的方法，其特征在于，所述第二ECU确定所述第一ECU为所述第一数字证书的合法持有者，具体包括：

所述第二ECU确定所述第一私钥和所述第一公钥为密钥对。
根据权利要求12所述的方法，其特征在于，所述第二ECU确定所述第一私钥和所述第一公钥为密钥对之前，所述方法还包括：

所述第一ECU向所述第二ECU发送第一签名，所述第一签名为使用所述第一私钥对随机数处理后得到；

所述第二ECU使用所述第一公钥验证所述第一签名；在验证结果和所述随机数相同的情况下，所述第一私钥和所述第一公钥为密钥对。
一种车载设备的控制方法，其特征在于，所述方法应用于第二电子控制单元ECU，所述第二ECU存储第二数字证书；所述方法包括：

所述第二ECU接收到所述第一ECU发送的第一数字证书；所述第一ECU存储所述第一数字证书和第一私钥，所述第一数字证书包括第一公钥；

所述第二ECU接收到所述第一ECU发送的使用所述第一私钥加密的第一指令，所述第一指令用于指示所述第二ECU启动第一功能；

所述第二ECU使用所述第一公钥对加密的所述第一指令进行解密；

所述第二ECU根据第一颁发机构CA和所述第二CA中包含的相同CA的数量，确定所述第二ECU允许访问的功能；所述第一CA为颁发所述第一数字证书的CA，所述第二CA为颁发所述第二数字证书的CA；所述第一CA、所述第二CA的数量均为多个；所述第一CA和所述第二CA中包含的相同CA的数量越多，所述第二ECU允许访问的功能的数量越多；

如果所述第二ECU允许访问的功能包括所述第一功能，则所述第二ECU启动所述第一功能；如果所述第二ECU允许访问的功能不包括所述第一功能，则所述第二ECU拒绝启动所述第一功能。
根据权利要求14所述的方法，其特征在于，所述第二ECU启动或拒绝启动所述第一功能之后，所述方法还包括：

所述第二ECU将启动所述第一功能的结果发送给所述第一ECU。
根据权利要求14或15所述的方法，其特征在于，所述第二ECU启动或拒绝启动所述第一功能之后，所述方法还包括：

所述第二ECU将启动所述第一功能的结果发送给车载系统中的显示屏，以使得所述显示屏显示提示信息，所述提示信息用于指示所述第二ECU启动所述第一功能的结果。
根据权利要求14-16任一项所述的方法，其特征在于，所述第一CA或所述第二CA包括以下一项或多项：根CA、车厂CA、品牌CA、型号CA、车辆CA或域CA。
根据权利要求14-17任一项所述的方法，其特征在于，

所述第一ECU为车载T-box的ECU，所述第二ECU为发动机的ECU；或者，

所述第二ECU为车载T-box的ECU。
根据权利要求14-18任一项所述的方法，其特征在于，所述第一ECU还存储有所述第一证书链，所述第二ECU还存储有所述第二证书链；所述第一证书链包括所述第一CA的数字证书，所述第二证书链包括所述第二CA的数字证书；

所述第二ECU确定所述第二ECU允许访问的功能之前，所述方法还包括：

所述第二ECU接收到所述第一ECU发送所述第一证书链；

所述第二ECU根据所述第一证书链和所述第二证书链，确定第一CA和所述第二CA中包含的相同CA的数量。
根据权利要求14-19任一项所述的方法，其特征在于，所述第二ECU使用所述第一公钥对加密的所述第一指令进行解密之前，所述方法还包括：

所述第二ECU确定所述第一数字证书合法，且，所述第一ECU为所述第一数字证书的合法持有者。
根据权利要求20所述的方法，其特征在于，所述第二ECU确定所述第一数字证书合法，具体包括：

所述第二ECU确定所述第一数字证书是由受信任的CA颁发的；

或者，

所述第二ECU确定所述第一数字证书是由受信任的CA颁发的，且在有效期内。
根据权利要求20或21所述的方法，其特征在于，所述第二ECU确定所述第一ECU为所述第一数字证书的合法持有者，具体包括：

所述第二ECU确定所述第一私钥和所述第一公钥为密钥对。
根据权利要求22所述的方法，其特征在于，所述第二ECU确定所述第一私钥和所述第一公钥为密钥对之前，所述方法还包括：

所述第二ECU接收到所述第一ECU发送的第一签名，所述第一签名为使用所述第一私钥对随机数处理后得到；

所述第二ECU使用所述第一公钥验证所述第一签名；在验证结果和所述随机数相同的情况下，所述第一私钥和所述第一公钥为密钥对。
一种车辆系统，其特征在于，所述车辆系统包括第一电子控制单元ECU和第二ECU，所述车辆系统用于执行如权利要求1-13任一项所述的方法。
一种电子控制单元ECU，其特征在于，包括：安全芯片、一个或多个处理器和一个或多个存储器；所述安全芯片、所述一个或多个存储器与所述一个或多个处理器耦合；其中，

所述安全芯片用于存储第二数字证书；

所述一个或多个存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令，当所述一个或多个处理器执行所述计算机指令时，使得所述ECU执行如权利要求14-23任一项所述的方法。
一种车机系统，其特征在于，包括如权利要求25所述的ECU和通信接口，所述通信接口用于和互联网服务器通信。
一种计算机可读存储介质，包括计算机指令，当所述计算机指令在电子设备上运行时，使得所述电子设备执行如权利要求14-23任一项所述的方法。