CN106537463A - 用于提高车辆安全性的方法和装置 - Google Patents
用于提高车辆安全性的方法和装置 Download PDFInfo
- Publication number
- CN106537463A CN106537463A CN201580037405.5A CN201580037405A CN106537463A CN 106537463 A CN106537463 A CN 106537463A CN 201580037405 A CN201580037405 A CN 201580037405A CN 106537463 A CN106537463 A CN 106537463A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- remote access
- access equipment
- logic circuit
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C2205/00—Indexing scheme relating to group G07C5/00
- G07C2205/02—Indexing scheme relating to group G07C5/00 using a vehicle scan tool
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Lock And Its Accessories (AREA)
Abstract
公开了利用车辆用户的输入以通过远程访问设备提供合法车辆使用的逻辑电路上下文以保护车辆免于被盗的装置、系统和方法。由此,附加的安全级别被采用并且可以除车辆的其它安全和防盗技术之外被使用。在一个例子中,合法的车辆操作者向车辆中的硬件安全模块信令通知车辆状态的上下文。状态包括例如不允许所有诊断系统访问或允许诊断访问以进行维修。
Description
相关申请
本申请要求2014年7月11日提交的、发明人为Jason Aurele Soroko的题为“METHOD AND APPARATUS FOR PROVIDING VEHICLE SECURITY”的美国临时申请序列No.62/023388,以及2015年7月9日提交的、发明人为Jason Aurele Soroko的题为“METHOD ANDAPPARATUS FOR PROVIDING VEHICLE SECURITY”的美国非临时申请序列No.14/795072的优先权,并且通过引用被结合于此。
技术领域
本申请一般而言涉及车辆安全系统,并且更具体而言涉及可以用远程访问设备(诸如钥匙扣(key fob)、智能电话、互联网器具和任何其它合适的远程访问设备)激活的车辆安全系统。
背景技术
现代机动车(automobile)包含连接到网络的电子控制单元和传感器。控制器区域网络(CAN)系统最早于1986年实现并已成为机动车电子器件的标准实现。门锁致动器、引擎起动器和防盗传感器电连接到与机动车诊断系统相同的计算机网络。因此,门锁、引擎起动器和防盗传感器可以从发出到物理诊断端口(OBD-II)中的电子输入得到命令。在一些车辆中,通过由诸如电子钥匙扣或智能电话之类的设备进行的无线连接,还可远程地获得这种能力。对于远程地启动机动车引擎并锁定或解锁门,有许多合法用途。对于物理地访问机动车诊断OBD-II端口以便获得诊断信息,也存在许多合法用途。
图1示出了已知的车辆配置的一个例子。将认识到,其它部件也被使用。如图所示,控制器区域网络(CAN)100是允许位于整个引擎和车辆上的多个电子控制单元通过各种链路彼此通信的网络。此外,CAN包括被设计为防篡改并且因此攻击者难以访问、修改或绕过的硬件安全模块。如本领域中已知的,硬件安全模块包括一个或多个处理器,诸如中央处理单元,和相关联的存储器,其中存储器存储可执行指令,当指令被执行时,使得处理器执行安全操作。当前由车辆HSM执行的安全操作的例子可以包括由EVITA项目完成的工作。EVITA目标是:-所有加密操作都在HSM内部:所有密钥都存储在HSM内部。密钥有使用标志(加密、解密、签署、验证)。用例的例子可以是代客停车隐私应用。存在与车辆使用相关的个人使用数据的安全访问和存储,诸如来自信息娱乐服务或驾驶活动记录系统的使用的信息。另一个例子可以是诸如在一辆汽车中刹车的活动可以导致另一辆车辆中刹车的激活。通过HSM来保护通信。
在另一个用例中,数据被发送到显示器并且由存储在HSM中的密钥签署。车辆102可以是,例如,汽车、卡车或任何其它合适的车辆。车辆系统还包括通过一条或多条通信链路与CAN通信的一个或多个局部互连网络(LIN)104。LIN可以允许访问门锁致动器106以及其它致动器和设备。车辆还包括各种传感器108、防盗传感器110、致动器112(诸如防抱死制动系统致动器)、娱乐系统114、也可以与其它传感器(诸如排放控制传感器、速度传感器和本领域已知的其它传感器118)互连的电子引擎控制器116,以及车辆诊断系统120(诸如具有诊断端口122(诸如OBD-II端口)的OBD II系统)。如本领域中已知的,OBD-II端口可以被访问,以从车辆诊断系统获得诊断信息和其它信息。可以向车辆的用户指派远程访问设备124,诸如具有无线收发器的钥匙卡,以便与车辆的CAN通信,以解锁门、打开后备箱、起动车辆以及执行其它操作。
防御系统(诸如对物理钥匙的存在的检查)已经被盗贼复制物理钥匙的能力击败。检查嵌在物理钥匙或远程钥匙链上的电子信号或数字签名的防御系统也已被击败。物理和电子密钥安全性的薄弱实现导致对车辆的恶意物理访问。
如果偷车贼能够获得对车辆诊断电子系统的物理或远程无线访问,则他们将能够发出解锁门的电子命令以允许物理访问以及起动引擎。此外,在任何复杂的电子系统中,都存在实现缺陷的可能性,这将使恶意行动者能够采取控制。因此,需要多于一层防御性安全。
车辆诊断系统将接受命令而不进行认证。在将来,如果车辆诊断系统执行认证,则车辆仍然不能知道认证的动作是由合法的车辆操作者还是由恶意盗贼进行的。认证实现缺陷和认证秘密的根本弱点突出了对附加防御安全层的需求。
图2示出了可被采用作为CAN 100的一部分的网关ECU 200的例子。硬件安全模块202可被采用作为网关ECU的一部分或者将以安全的方式连接到网关ECU。硬件安全模块包括一个或多个处理器和相关联的存储器,其允许由处理器执行软件,以使处理器执行操作。网关ECU 200也包括一个或多个处理器204和相关联的存储器206。网关ECU 200还可以包括无线收发器201或与车辆中的无线收发器通信,以允许与远程访问设备的通信,远程访问设备在这个例子中被示为钥匙扣208、OEM远程访问系统210(诸如OnStar),或智能电话212。
已经提出在远程访问设备和网关ECU中的硬件安全模块之间提供对称加密,以例如存储具有唯一车辆ID的车辆证书。此外,远程访问设备还被制造为具有对应的对称证书,使得钥匙扣和HSM可以执行认证操作,使得HSM和网关ECU可以利用对称密钥认证过程认证例如钥匙扣或其它设备,以将钥匙扣识别为适当地对应于特定车辆,使得其可以是可信任的。
但是,对于这种系统,会出现问题,因为黑客可以从钥匙扣获得这种基于对称密钥的证书并将其编程到另一个钥匙扣中,由此允许黑客访问和盗取车辆。这是因为,一旦基于对称密钥的证书已经过认证,车辆就允许对诊断系统的访问。例如,停放的车辆将仍然允许例如通过OBD端口访问其诊断系统。车辆可以具有许多接入点,诸如蓝牙、WiFi或OBD端口。
还已经提出使用非对称公钥基础设施系统,其中OEM可以例如充当根证书颁发机构(例如,由OEM控制的服务器)并且HSM将钥匙扣认证为真正的制造商部分,因为制造商将发布用于HSM和钥匙扣的公钥和私钥对。但是,所提出的系统仍然允许对停放的车辆或已经利用远程访问设备锁定的车辆的OBD访问。
而且,当车辆正在驾驶时,电子系统彼此协调以完成预编程的任务。如果操作者在具体情况下施加刹车系统困难,则ABS刹车使操作者能够维持对转向的控制,同时小心地平衡刹车盘应用。与相机传感器协调,自适应巡航控制通过帮助操作者自动控制油门和刹车使驾驶体验更智能。辅助的平行停车逻辑电路通过自动化一系列转向运动来帮助操作者。这些电子进步已经导致操作者的安全性和方便性增加。
如果在高速下应用ABS刹车或辅助平行停车,则结果对于车辆的乘客可能是灾难性的。不幸的是,由于车辆的计算机网络的电子连接和电子控制单元的信任本质,这种情况是可能的。电子安全机制可以被绕过和击败。最令人担心的是,与正常的个人计算机不同,在车辆以高速行进时,在车辆可能与另一车辆或路边固定设施碰撞之前,攻击者应用服务攻击或定时攻击的电子拒绝可能需要的时间量仅需要是数秒。
附图说明
当结合下面的附图时,通过下面的描述将更容易理解实施例,并且其中相同的附图标记表示相同的元件,其中:
图1是现有技术车辆系统的框图;
图2是车辆中的现有技术网关电子控制单元的框图;
图3是示出根据本公开的一个实施例的、具有用户提供的安全上下文的硬件安全模块的一个例子的框图;
图4是根据本公开中所阐述的一个例子的、具有用户提供的安全上下文控制的车载硬件安全模块的一个例子的框图;
图5是示出根据本公开中所阐述的一个实施例的车辆远程访问设备的一个例子的框图;
图6是示出图3和4中所示的硬件安全模块的操作方法的一个例子的流程图;
图7是示出根据本公开的一个方面的车辆远程访问设备和安全模块的操作的一个例子的流程图;
图8示出了根据本公开的一个方面的钥匙扣的一个例子;
图9是根据本公开中所阐述的一个例子的、采用图形用户接口的智能电话的图示;
图10是示出根据本公开的一个方面的车辆远程访问设备和安全模块的操作的一个例子的流程图;
图11是根据本公开中所阐述的一个例子的、采用图形用户接口的智能电话的图示;及
图12示出了根据本公开的一个方面的钥匙扣的一个例子。
具体实施方式
简而言之,公开了利用车辆用户的输入通过远程访问设备提供合法车辆使用的逻辑电路上下文以防止车辆被盗的装置、系统和方法。照此,采用附加的安全级别,并且可以除车辆的其它安全和防盗技术之外被使用。在一个例子中,合法的车辆操作者向车辆中的硬件安全模块信令通知车辆状态的上下文。状态包括例如不允许所有诊断系统访问或允许诊断访问以进行服务。
当不允许诊断服务时,机动车中的电子控制器不响应命令。这可以包括被已知为网关ECU的电子控制单元和与LIN总线(本地互连网络)通信的任何其它电子器件。LIN总线通常是向门锁致动器发出命令的电子网络。当机动车处于不允许诊断服务的模式时,导致门的解锁和启动引擎的诊断命令不被允许在CAN、LIN、FlexRay或任何其它车辆网络上移动。如果盗贼获得对停放的车辆的恶意物理访问,则他们不能通过物理诊断端口或通过远程无线连接向机动车计算机网络发出电子命令。
用于为车辆提供车辆安全的装置包括安全模块,该安全模块包括基于非对称密钥的密码引擎,以基于与车辆远程访问设备相关联的公钥来认证车辆远程访问设备。安全模块还可操作以建立与车辆远程访问设备的安全链路。安全模块包括响应于经由所建立的安全链路从车辆远程访问设备接收的车辆安全上下文信息而选择性地阻止对车辆的诊断系统的访问的逻辑电路。在一个例子中,安全模块是具有防篡改硬件结构的硬件安全模块。
逻辑电路可以选择性地阻止对车辆的诊断系统的访问。例如,当诊断系统接收到命令时,它将仅在由存储在HSM中的密码密钥签署时才运行。如果安全状态为“开”,则不会发生这种签署,这意味着汽车的用户已用信令通知汽车将不被使用并且汽车不打算进行维修的意图。
在另一个实施例中,车辆远程访问设备包括无线收发器和耦合到无线收发器的逻辑电路,可操作以利用车辆电子控制单元促进基于公钥的认证。车辆远程访问设备还包括用户接口,诸如按钮或图形用户接口或两者兼有,为车辆电子控制单元提供车辆安全上下文信息,以防止访问车辆的诊断系统。
在另一个实施例中,由车辆中的设备执行的方法包括基于与车辆远程访问设备相关联的公钥来认证车辆远程访问设备,建立与车辆远程访问设备的安全链路,以及响应于经由所建立的安全链路从车辆远程访问设备接收的车辆安全上下文信息而选择性地阻止对车辆的诊断系统的访问。
在一个实施例中,车辆系统包括车辆远程访问设备,其包括无线收发器、可操作地耦合到无线收发器的第一逻辑电路,其可操作以利用车辆电子控制单元促进基于公钥的认证。远程访问设备(诸如钥匙扣、智能电话或其它设备)包括用户接口,诸如按钮、图形用户接口或可操作地耦合到逻辑电路的任何合适的选择机制。远程访问设备为车辆电子控制单元提供车辆安全上下文信息,以防止访问车辆的诊断系统。该系统包括诸如硬件安全模块之类的安全模块,其包括基于非对称密钥的密码引擎,该引擎可操作以基于与车辆远程访问设备相关联的公钥来认证车辆远程访问设备,并且可操作以建立与车辆远程访问设备的安全链路。该系统包括第二逻辑电路,其响应于经由所建立的安全链路从车辆远程访问设备接收的车辆安全上下文信息而操作性地作为响应地选择性地阻止对车辆的诊断系统的访问。
在一个实施例中,逻辑电路被存储在专用硬件安全模块(HSM)中。HSM被设计为防篡改,并且因此攻击者无法访问、修改或绕过安全逻辑电路。如果期望,则逻辑电路操作利用硬件安全模块的CPU中的可信任执行环境(TEE)。TEE是Global Platform(全球平台)的安全标准,它将关键逻辑电路功能隔离到安全和隔离的空间中,从而进一步保护安全逻辑电路。
诊断服务被允许或不允许的上下文是经由正常汽车拥有者的远程访问设备来发命令的,远程访问设备诸如由车辆制造商发行的电子钥匙扣或机动车制造商发行的智能电话应用。连接和通信协议可以利用现有技术,诸如蓝牙、WiFi或机动车制造商选择的另一无线技术。
为了保护通信使得盗贼无法监听到命令以便在稍后的时间重放它们(被称为重放攻击),通信被保护。这可以通过在钥匙扣或智能电话应用和正在接收命令的机动车连接技术(例如,HSM)之间实现SSL/TLS加密的通信隧道(链路)来实现。举例来说,联邦信息处理标准FIPS 140-2可以应用于钥匙扣或智能电话应用和HSM设备之间的通信,以创建高度安全的通信信道。
如上面所指出的,现有的钥匙扣或智能电话对车辆系统的认证利用已被击败的对称密钥技术。盗贼可以通过经诊断端口(OBD-II)调查机动车计算机系统存储器来找出钥匙扣和认证系统之间的共享秘密。
因此,采用强大的非对称加密是重要的,诸如公钥基础设施(PKI),其中私钥被安全地存储在机动车硬件安全模块中,以及在电子钥匙扣内的安全元件中。对于智能电话,在智能电话内存储私钥是可行的。类似于此的是Entrust Mobile Smart Credential(信任移动智能凭据)应用。更安全的智能电话实现将利用电话上的安全元件以及许多智能电话中内置的可信任执行环境(TEE)。实际上,电子钥匙扣或智能电话变得等同于智能卡,其对机动车的ECU进行认证。PKI系统的私钥的两半存储在安全的防篡改硬件中。PKI证书颁发机构和信任的根可以由机动车制造商或其他合适的第三方管理。这将包括证书管理,包括设备规定(provisioning)、用户规定和证书撤销。如果汽车改变所有权,则所有权身份改变的管理将由机动车制造商管理。
所公开的安全实现允许针对驾驶员失去起动汽车的能力的使用情况存在变通方案。这是通过使汽车能够通过利用由机动车制造商提供的远程服务改变模式来实现的。诸如通用汽车的OnStar和BMW的ConnectedDrive的系统是例子。这些远程服务命令将包括受保护的PKI认证机制。它们还通过利用SSL/TLS加密通信隧道来保护通信。以这种方式,恶意行动者不能假装是合法的远程服务。
除了其它优点之外,机动车尤其不再信任可能允许盗窃的恶意命令。加密密钥素材不必为了认证对诊断系统的访问而与服务中心共享。当诊断上下文逻辑电路不存在时,这是诊断认证系统的弱点。
所公开的安全实现不需要移位其它安全防御层,并且可以与现有的车辆技术并行工作。
在一个例子中,逻辑电路被放在硬件安全模块中,以启用和禁用允许诊断访问的上下文。实现了到逻辑电路状态的安全连接。逻辑电路还被放在电子钥匙扣或智能手机应用中。这些设备都将是由机动车制造商进行的正常机动车部署的一部分。如果这些丢失,则来自车辆制造商的远程控制系统的连接和逻辑电路需要能够控制车辆。
如所描述的,通过实现其中私钥存储在硬件安全模块中的公钥基础设施,实现了对控制安全逻辑电路的机动车ECU的操作者认证。
如果期望,则还可以通过禁用从诊断系统发出命令来提供另一层安全性,并且当机动车逻辑电路(诸如HSM)检测到对任何子系统(诸如制动系统或任何其它系统)的恶意状况时,可以采用报警系统。除了所有其它安全性(safety)、安全(security)和防盗技术之外,这种逻辑电路也可以被采用。
与这个附加的安全层相关,常见的攻击方法是重复尝试向车辆网络中发送消息,有效地引起已知的“竞争条件”,该竞争条件是基于提高恶意命令将取代合法命令或安全检查的概率。
恶意命令可以来自对OBD-II诊断端口、娱乐系统连接或通过远程无线连接的物理访问。这突出了对内部电子控制单元逻辑电路的需要,内部电子控制单元逻辑电路包括:
在驾驶时不应当允许来自诊断系统的用于应用制动系统的命令。在短时间内(10ms以下,或基于依赖于正常驾驶条件下的预期速率)重复多次的任何命令都应当被识别为潜在恶意的。
在驾驶时造成车辆电子器件内的服务被拒绝的任何“信息泛滥”事件将导致机动车尝试警告操作者。
在一个例子中,当车辆正在驾驶时,所公开的逻辑电路不允许除了出站信息之外的所有诊断访问。基于机动车设计规范,逻辑电路不允许从诊断系统发出无效命令到CAN、LIN、FlexRay或任何其它机动车网络的任何尝试。合法命令的列表可以由机动车制造商提供以用于监视并存储在安全模块中。
如果这些逻辑电路条件中的任一个被逻辑电路检测到,则可以通知车辆操作者安全停止车辆。这种警告可以通过独立且隔离的通知系统发送。这可以是连接到座椅、方向盘、刹车、油门和换挡控制器的触觉系统。这还可以包括仪表板报警以及经由娱乐系统的通知。
机动车硬件安全模块是防篡改电子设备,其可以以与其它电子系统隔离的方式存储数据和逻辑电路。它们包含可以从其读取这种逻辑电路的安全元件。逻辑电路的应用可以在已知的可信任执行环境(TEE)内执行,这是计算机执行空间与其它电子环境的进一步隔离。
上下文逻辑电路的一些益处包括机动车不再信任可能导致灾难性后果的恶意命令。而且,减少了机动车的威胁面。
在一个例子中,逻辑电路(诸如编程的处理器)位于硬件安全模块中,以禁用从诊断系统发出命令。当机动车逻辑电路检测到恶意命令状况时,采用报警系统。
图3示出了具有用户提供的安全上下文300的硬件安全模块的一个例子,在这个例子中被示为网关ECU的一部分。但是,将认识到,硬件安全模块300可以根据期望位于网络中任何合适的点。在这个例子中,网关ECU 301包括无线收发器201并且与远程访问设备302通信,远程访问设备302可以是例如钥匙扣、智能电话或具有用户上下文安全逻辑电路的OEM远程访问系统。用户上下文安全逻辑电路允许合法的车辆操作者向硬件安全模块300通知由车辆远程访问设备(例如,通过安全无线链路306)发送的车辆安全上下文信息405。车辆安全上下文信息405可以是例如诊断系统应当被关闭的指示。
图4更详细地示出了具有用户提供的安全上下文控制的安全模块300的一个例子。在这个例子中,安全模块300是硬件安全模块,它是防篡改电子设备,它存储数据并且包含与车辆中的其它电子系统隔离的逻辑电路。在一个例子中,安全模块300包括逻辑电路402,该逻辑电路可以是例如状态机、离散逻辑电路、执行存储在存储器中的、当被执行时使得处理器如本文所描述的那样操作的可编程指令的一个或多个处理器,或者硬件和软件的任何其它合适组合。安全模块300还包括非对称密码引擎402,其可以是状态机、离散逻辑电路或执行所存储的、当被执行时使得处理器作为非对称密码引擎来操作的指令的一个或多个处理器,或任何其它合适的逻辑电路。如果期望,则同一处理器可以通过执行不同的可执行代码(如果期望的话)来提供逻辑电路400和非对称密码引擎402二者。处理器可以是任何合适的处理器,诸如CPU、数字信号处理器或任何其它合适的可编程处理器。此外,本文要求保护的方法是以电子方式执行的。
当逻辑电路400和非对称密码引擎402由执行所存储的指令的一个或多个处理器实现时,非瞬时性存储器404可以存储可执行指令。存储器404可以是由任何合适的技术(包括忆阻器技术或本领域已知的任何其它合适的技术)制成的任何合适的存储器,诸如RAM、ROM或其它存储介质。此外,存储器404还存储网关ECU 404的私钥410、HSM 300的公钥412、远程访问设备(诸如钥匙扣、智能电话或任何其它合适的设备)的公钥414。非对称密码引擎402可以是利用公钥和私钥对来执行相互认证的PKI引擎。此外,可以采用其它密钥来在远程访问设备和HSM之间提供安全信道,例如根据FIPS-140-2标准或任何其它合适的安全信道协议。基于非对称密钥的密码引擎402可操作以基于与车辆远程访问设备相关联的公钥来认证车辆远程访问设备,并且还建立与车辆远程访问设备的安全链路。逻辑电路400响应于经由所建立的安全链路或信道从车辆远程访问设备接收的车辆安全上下文信息405,来选择性地阻止对车辆的诊断系统的访问。如前面所提到的,硬件安全模块300可以是防篡改硬件结构。
在操作中,在一个例子中,非对称密码引擎402基于与车辆远程访问设备相关联的公钥414来认证车辆远程访问设备(参见图5)。公钥密码引擎还建立与车辆远程访问设备的安全链路或信道。逻辑电路400响应于经由所建立的安全链路从车辆远程访问设备接收的车辆安全上下文信息304,选择性地阻止对车辆的诊断系统的访问。例如,如果钥匙扣的操作者经由图形用户接口或钥匙扣上的按钮选择车辆关闭,使得操作者希望在逻辑电路上使车辆诊断系统有效地关闭,那么,可以是经由安全信道发送到HSM的一个或多个位的这种车辆安全上下文信息405随后由逻辑电路400评估,并且,如果该信息指示诊断系统应当在逻辑电路上被关闭,则逻辑电路400将指示ECU。例如,逻辑电路400可以发出CAN网络监视命令420,从而请求CAN网络监视车载诊断系统总线或其它数据,以确定是否正在对车辆诊断系统进行访问。然后,ECU经由处理器204可以执行监视CAN网络对OBD的访问。这可以例如通过允许或防止发送到诊断系统的证书签署命令的动作来完成。诊断系统将只对由存储在HSM中的证书签署的命令作出响应。签署命令的活动仅在安全上下文被设置为启用模式(“安全上下文关闭”)时发生。如果未签署的、虚假签署的命令到达诊断系统,则诊断系统将不会对那些命令起作用。这还可以包括利用专用的网络控制器分接(tapping)CAN网络的流量,该网络控制器记录并分类各个数据包,这种分接类似于入侵防御系统在传统IT系统中的工作方式,例如,如果ECU检测到OBD正在被访问,则它可以向逻辑电路400发送安全状况通知422。然后逻辑电路400可以请求经由报警发出命令424发出报警,然后ECU可以发出报警通知,该报警通知可以以音频和/或视觉报警的形式被发送回用户的钥匙扣,和/或还可以激活车辆上的另一报警,并且如果期望,则向可以联系警察的安全基础设施发送报警消息。
如图5中所示,远程访问设备可以是钥匙扣502、智能电话或任何其它合适的设备并且,如本领域中已知的,可以包括无线收发器500,诸如蓝牙、近场发送器、蜂窝发送器、WiFi收发器或任何其它合适的无线收发器500,其可以包括构成用户上下文安全逻辑电路的一个或多个处理器504或其它合适的逻辑电路。用户上下文安全逻辑电路可以包括认证器和安全信道生成器506,并且可操作以经由安全信道向HSM 300提供所选择的用户安全上下文信息405。在这个例子中,采用适当编程的处理器,其被编程为补充HSM的密码引擎的非对称密码引擎。在一个例子中,这可以通过将由一个或多个处理器504执行的代码存储在存储器508中来完成。但是,将认识到,可以采用离散逻辑电路、状态机或者硬件和软件的任何合适组合。此外,诸如一个或多个按钮、图形用户接口、麦克风、扬声器或任何其它合适的用户接口之类的用户接口510被电子耦合到密码引擎,以提供车辆安全上下文输入信息规定,以允许用户选择用户或车辆操作者期望的附加安全层,使得不仅例如车辆被锁定,而且除此之外,车辆操作者还希望指示车辆的上下文应当使得诊断系统也应当有效地关闭和不可访问。然后,如前面所指出的,车辆安全上下文信息405可以经由安全信道经由无线收发器500发送。
将认识到,用户接口510可以是例如在钥匙扣上的现有按钮,其可以被按下并按住达一段延长的时间段,以选择安全上下文输入信息为“开”,使得防止车辆中的诊断系统被访问。作为替代地,可以采用或者机械或者通过图形用户接口的单独按钮。此外,可以利用可听命令、可以利用生物测定输入,或者根据期望任何其它合适的激活机制。
图6是示出在方框600开始的、由车辆中的设备执行的方法的一个例子的流程图。该过程可以例如通过用户激活车辆远程访问设备上的按钮或其它选择机制以发起车辆安全上下文模式来起动。如果期望,则它也可以在钥匙扣或智能电话在车辆的某个范围内时自动启动。如方框602中所示,该方法包括基于与车辆远程访问设备(诸如钥匙扣或智能电话)相关联的公钥来认证车辆远程访问设备。如方框604中所示,该方法包括与车辆远程访问设备建立安全链路,诸如TSL安全隧道。在方框606中示出,该方法包括响应于经由所建立的安全链路从车辆远程访问设备接收的车辆安全上下文信息来选择性地防止对车辆的诊断系统的访问。该方法可以例如由车辆中的逻辑电路和(在一个例子中)诸如HSM的安全模块来执行。该方法可以如方框608中所示那样结束。
图7示出了根据一个实施例的在远程访问设备和HSM之间的操作方法的一个例子。用户通过例如激活钥匙扣上的按钮或通过图形用户接口经由蓝牙、WiFi或其它无线技术建立到车辆的连接(方框700),并且请求HSM利用HSM的加密引擎执行相互认证702。存在可用于车辆OEM的标准非对称认证方法和协议。用于远程无线相互盘问响应的例子将是基于椭圆曲线密码系统(ECC)ID的远程认证方案。加密步骤已经被标准化。从目标的角度来看,协议步骤是:服务器和用户的相互认证,建立秘密认证密钥以保护在相互认证中使用的数据,由用户和服务器针对从用户发送到服务器的相关数据建立起源的不可否认性以及反过来建立对秘密会话密钥的协商,这将被用来加密数据通信。
如果钥匙扣由HSM认证,则HSM例如建立安全信道704,诸如TLS,并且HSM将通过该安全信道向钥匙扣发送成功的连接指示。然后,如果期望,则钥匙扣例如激活钥匙扣上指示安全连接到位的灯或其它指示706。然后HSM向手持式设备指示车辆的当前计算机安全上下文708。举例来说,这可以指示被红色锁的符号覆盖的计算机部件的符号,以突出车辆不允许诊断控制并被保护的状况。另一个例子是相同的计算机部件没有被锁的符号覆盖,在黄色惊叹号旁边,这将突出诊断计算机系统接受命令的状况并且因此警告用户不要让他们的汽车在这种状况下停放。然后手持式设备可以在GUI上或通过另一合适的按钮或指示来显示710当前计算机安全上下文。然后HSM等待进一步的指令712。如果用户决定通过例如在汽车引擎关闭或停放时选择开或关按钮来提供附加的车辆安全上下文714,则车辆安全上下文信息通过安全信道被传送到HSM,并且,如果安全上下文未被设置716,则HSM可以向ECU发送命令,以停止监视对诊断系统718的非法命令。但是,如果车辆安全上下文被设置,则HSM指示ECU执行监视和监听诊断系统720的监视结果。如果ECU指示非法活动722,诸如检测到OBD-2诊断命令,则HSM将通知ECU发出警报。如果ECU从HSM逻辑电路接收到警报命令,则ECU将连接到OEM远程访问服务并警告潜在的危险状况724。而且,如果与手持式设备建立了连接,则可以通过正常连接向远程访问设备发送警报而不需要使用安全信道。如果期望,则问题警报还可以经由ECU在车辆的仪表板显示器上显示。
图8和9分别是采用上述车辆安全上下文信息规定的钥匙扣和智能电话的示意图。在这些例子中,远程访问设备包括安全连接指示器800和900,向用户示出在远程访问设备和HSM之间已经建立了安全信道。此外,安全的车辆计算机选择器802和902被用来允许用户激活车辆安全上下文模式,以指示车辆诊断系统不应当可访问。如果已正确地执行车辆安全上下文信息的激活,则向用户通知安全车辆计算机指示器804和904。此外,在安全车辆计算机指示器被激活的时间期间,如806和906所示的视觉、听觉或两者兼有的警报或报警警告在HSM已检测到诊断系统的访问的情况下被激活。
图10是示出其中可以采用智能电话或钥匙扣的位置信息和/或用户的生物测定信息的系统的另一实施例的流程图。如图所示,当被使用时,智能电话可以针对用户的生物测定指纹或PIN码发出安全盘问,如方框1000中所示。如果相互认证已经被批准,则HSM可以设置基于TLS的安全信道,生物测定指纹信息是附加的安全级别。如果期望,则智能电话或钥匙扣可以注册GPS坐标并且通过安全TLS信道将GPS坐标发送到HSM,如方框1002中所示。将接收到的GPS坐标与汽车坐标(诸如来自车辆GPS)进行比较,并且如果位置太远,则向OEM远程访问服务发送报警,如方框1004中所示。OEM远程访问服务将联系车辆的用户,以确保这是预期的操作。如果合法用户不打算这样做,则依赖于特定于OEM的策略,车辆将被OEM远程访问服务固定或跟踪。然后,如方框1006中所示,到手持设备的成功连接指示是通过安全信道发送的,然后其在钥匙扣或智能电话上指示,如方框1008中所示。当前计算机安全上下文的指示可以被发送到手持式设备,如方框1010中所示,然后其可以在GUI上显示或以其它方式向用户指示,如方框1012中所示。如果远程访问设备或OEM远程访问服务发送车辆安全上下文信息,则可以基于状况的数量来进行。这些在方框1014、1016、1018和1020中示出。这些活动可以被记录在远程访问设备的存储器中,如方框1022中所示。例如,当用户已经停止引擎时,可以指示车辆安全上下文通知为“开”并且在安全信道中被发送到HSM。当用户已经停止引擎并且用户希望让诊断系统可以访问第三方服务器时,用户可以选择那个状况并且指示车辆安全上下文信息为“关”的通知被安全地发送到HSM。如方框1018中所示,在另一个例子中,OEM远程访问服务具有在用户请求时(例如,如果存在丢失的钥匙扣或者不能与智能电话建立安全连接的情况)重写HSM中的安全上下文的能力。如方框1020中所示,如果期望,则将安全上下文收费活动记录在OEM远程访问服务和本地存储器位置。
如图11和12中所示,示出了自动服务选择器1100和1200,以允许例如用户选择诊断服务可以发生。还可以提供GPS和/或生物测定接口,如1102和1202中所示。相应地,这些设备可以利用例如图10中所示的操作来使用。
总的来说,机动车电子系统部分地信任向它们发出的命令。机动车通常无法区分命令是从其合法操作者发出还是从恶意盗贼发出。当车辆的合法操作者能够向车辆用信令通知意图时,这个问题被解决。实际上,车辆驾驶员是想要驾驶还是停放车辆的上下文是防御性安全的一部分。
如果机动车的合法操作者想要停放一段时间,则可以假设操作者的意图是汽车门将被锁定并且引擎将被停止,此外,机动车将不接受来自诊断系统的命令,直到驾驶员发出解锁车门和启动引擎的命令。
对此的例外是如果车辆操作者想要车辆被维修。诊断端口将被合法访问。车辆拥有者或驾驶员被允许向机动车发出命令以将其置于允许诊断维修的模式中。
在另一个实施例中,还可以组合地提供在合法的操作者操作期间阻止非合法命令,使得例如硬件安全模块可以禁用从诊断系统发出的命令。本领域普通技术人员将认识到其它优点。
除了其它优点之外,尤其提供了附加车辆安全层,其包括在远程访问设备和车辆安全系统之间的基于非对称密钥的相互认证操作。诸如SSL或TLS信道之类的附加安全信道在HSM和远程访问设备之间建立,以由车辆操作者发出附加命令或提供车辆安全上下文信息,指示例如车辆诊断系统应当在逻辑电路上被关闭。这可以是除了例如指示车辆停放和/或上锁的信息之外的信息。照此,执行车辆的物理上锁被执行并且诊断系统的逻辑电路上锁被执行。
仅仅为了说明和描述的目的而不是限制,给出了本发明的上述详细描述及其中所描述的例子。因此,预期本发明覆盖落入上面公开并在本文要求保护的底层原理的精神和范围内的任何和所有修改、变化或等同物。
Claims (6)
1.一种用于为车辆提供车辆安全的装置,包括:
安全模块,包括:
基于非对称密钥的加密引擎,能操作以基于与车辆远程访问设备相关联的公钥来认证车辆远程访问设备并且能操作以建立与车辆远程访问设备的安全链路;及
逻辑电路,能操作地响应于经由所建立的安全链路从车辆远程访问设备接收的车辆安全上下文信息,响应性地、选择性地阻止对车辆的诊断系统的访问。
2.如权利要求1所述的装置,其中安全模块包括具有防篡改硬件结构的硬件安全模块。
3.如权利要求1所述的装置,其中所述逻辑电路通过至少允许或阻止发送到诊断系统的证书签署命令的动作来选择性地阻止对车辆的诊断系统的访问。
4.一种车辆远程访问设备,包括:
无线收发器;
逻辑电路,能操作地耦合到无线收发器,能操作以促进利用车辆电子控制单元的基于公钥的认证;
用户接口,能操作地耦合到所述逻辑电路,并且能操作来为车辆电子控制单元提供车辆安全上下文信息,以阻止对车辆的诊断系统的访问。
5.一种由车辆中的设备执行的方法,包括:
基于与车辆远程访问设备相关联的公钥来认证车辆远程访问设备;
建立与车辆远程访问设备的安全链路;及
响应于经由所建立的安全链路从车辆远程访问设备接收的车辆安全上下文信息,选择性地阻止对车辆的诊断系统的访问。
6.一种车辆系统,包括:
车辆远程访问设备,包括:
无线收发器;
第一逻辑电路,能操作地耦合到无线收发器,能操作以促进利用车辆电子控制单元的基于公钥的认证;
用户接口,能操作地耦合到逻辑电路,并且能操作来为车辆电子控制单元提供车辆安全上下文信息,以阻止对车辆的诊断系统的访问;及
安全模块,包括:
基于非对称密钥的加密引擎,能操作以基于与车辆远程访问设备相关联的公钥来认证车辆远程访问设备并且能操作以建立与车辆远程访问设备的安全链路;和
第二逻辑电路,能操作地响应于经由所建立的安全链路从车辆远程访问设备接收的车辆安全上下文信息,响应性地、选择性地阻止对车辆的诊断系统的访问。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462023388P | 2014-07-11 | 2014-07-11 | |
| US62/023,388 | 2014-07-11 | ||
| PCT/US2015/039690 WO2016007712A1 (en) | 2014-07-11 | 2015-07-09 | Method and apparatus for providing vehicle security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106537463A true CN106537463A (zh) | 2017-03-22 |
| CN106537463B CN106537463B (zh) | 2020-04-17 |
Family
ID=53872131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580037405.5A Active CN106537463B (zh) | 2014-07-11 | 2015-07-09 | 用于提高车辆安全性的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP3167436B1 (zh) |
| CN (1) | CN106537463B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107896214A (zh) * | 2017-11-22 | 2018-04-10 | 中国计量大学 | 一种防范虚假数据注入的Lin总线主节点产生方法 |
| CN110213221A (zh) * | 2018-02-28 | 2019-09-06 | 罗伯特·博世有限公司 | 用于执行诊断的方法 |
| CN110800325A (zh) * | 2017-09-11 | 2020-02-14 | 奥迪股份公司 | 用于运行机动车的发射装置的方法,用于机动车的发射装置和机动车 |
| CN111385099A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 车载智能硬件的安全认证方法及装置 |
| CN112396735A (zh) * | 2020-11-27 | 2021-02-23 | 昕培科技(北京)有限公司 | 网联汽车数字钥匙安全认证方法及装置 |
| CN112423266A (zh) * | 2019-08-20 | 2021-02-26 | 广州汽车集团股份有限公司 | 一种车辆诊断方法、装置及汽车 |
| WO2021168864A1 (zh) * | 2020-02-29 | 2021-09-02 | 华为技术有限公司 | 一种故障诊断方法、装置及车辆 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101101678A (zh) * | 2007-06-01 | 2008-01-09 | 重庆集诚汽车电子有限责任公司 | 一种汽车发动机锁止电子防盗系统 |
| US20090207004A1 (en) * | 2006-03-30 | 2009-08-20 | Bundesdruckerei Gmbh | Method for the Protection of a Movable Object, Especially a Vehicle, Against Unauthorized Use |
| US20100205429A1 (en) * | 2009-02-10 | 2010-08-12 | Gm Global Technology Operations, Inc. | System and method for verifying that a remote device is a trusted entity |
| US20110144854A1 (en) * | 2009-12-10 | 2011-06-16 | Gm Global Technology Operations Inc. | Self testing systems and methods |
| CN202150047U (zh) * | 2011-07-06 | 2012-02-22 | 广州汽车集团股份有限公司 | 车载诊断安全验证系统 |
| CN102438237A (zh) * | 2010-11-23 | 2012-05-02 | 微软公司 | 使用移动通信设备的访问技术 |
| US20130253760A1 (en) * | 2011-12-08 | 2013-09-26 | Michael J. Berman | Vehicle Text-Cell Sensor |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102006040836A1 (de) * | 2006-08-31 | 2008-04-10 | Bayerische Motoren Werke Ag | System aus Steuergeräten in einem Kraftfahrzeug mit geschütztem Diagnosezugriff |
| US8736438B1 (en) * | 2012-08-15 | 2014-05-27 | Google Inc. | Computing device as a vehicle key |
-
2015
- 2015-07-09 CN CN201580037405.5A patent/CN106537463B/zh active Active
- 2015-07-09 EP EP15750844.1A patent/EP3167436B1/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090207004A1 (en) * | 2006-03-30 | 2009-08-20 | Bundesdruckerei Gmbh | Method for the Protection of a Movable Object, Especially a Vehicle, Against Unauthorized Use |
| CN101101678A (zh) * | 2007-06-01 | 2008-01-09 | 重庆集诚汽车电子有限责任公司 | 一种汽车发动机锁止电子防盗系统 |
| US20100205429A1 (en) * | 2009-02-10 | 2010-08-12 | Gm Global Technology Operations, Inc. | System and method for verifying that a remote device is a trusted entity |
| US20110144854A1 (en) * | 2009-12-10 | 2011-06-16 | Gm Global Technology Operations Inc. | Self testing systems and methods |
| CN102438237A (zh) * | 2010-11-23 | 2012-05-02 | 微软公司 | 使用移动通信设备的访问技术 |
| CN202150047U (zh) * | 2011-07-06 | 2012-02-22 | 广州汽车集团股份有限公司 | 车载诊断安全验证系统 |
| US20130253760A1 (en) * | 2011-12-08 | 2013-09-26 | Michael J. Berman | Vehicle Text-Cell Sensor |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110800325B (zh) * | 2017-09-11 | 2021-10-01 | 奥迪股份公司 | 用于运行机动车的发射装置的方法 |
| CN110800325A (zh) * | 2017-09-11 | 2020-02-14 | 奥迪股份公司 | 用于运行机动车的发射装置的方法,用于机动车的发射装置和机动车 |
| US11330413B2 (en) | 2017-09-11 | 2022-05-10 | Audi Ag | Method for operating a transmitting device of a motor vehicle transmitting device for a motor vehicle and motor vehicle |
| CN107896214A (zh) * | 2017-11-22 | 2018-04-10 | 中国计量大学 | 一种防范虚假数据注入的Lin总线主节点产生方法 |
| CN107896214B (zh) * | 2017-11-22 | 2020-09-08 | 中国计量大学 | 一种防范虚假数据注入的Lin总线主节点产生方法 |
| CN110213221A (zh) * | 2018-02-28 | 2019-09-06 | 罗伯特·博世有限公司 | 用于执行诊断的方法 |
| CN110213221B (zh) * | 2018-02-28 | 2023-08-11 | 罗伯特·博世有限公司 | 用于执行诊断的方法 |
| CN111385099A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 车载智能硬件的安全认证方法及装置 |
| CN112423266A (zh) * | 2019-08-20 | 2021-02-26 | 广州汽车集团股份有限公司 | 一种车辆诊断方法、装置及汽车 |
| CN112423266B (zh) * | 2019-08-20 | 2024-02-23 | 广州汽车集团股份有限公司 | 一种车辆诊断方法、装置及汽车 |
| WO2021168864A1 (zh) * | 2020-02-29 | 2021-09-02 | 华为技术有限公司 | 一种故障诊断方法、装置及车辆 |
| CN112396735B (zh) * | 2020-11-27 | 2022-09-02 | 昕培科技(北京)有限公司 | 网联汽车数字钥匙安全认证方法及装置 |
| CN112396735A (zh) * | 2020-11-27 | 2021-02-23 | 昕培科技(北京)有限公司 | 网联汽车数字钥匙安全认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3167436B1 (en) | 2022-03-16 |
| EP3167436A1 (en) | 2017-05-17 |
| CN106537463B (zh) | 2020-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2953144C (en) | Method and apparatus for providing vehicle security | |
| CN106537463A (zh) | 用于提高车辆安全性的方法和装置 | |
| CN107251105B (zh) | 机动车安防和机动车安全系统 | |
| CN104917745B (zh) | 使用密码钥控制对存储在车辆中的个人信息的访问 | |
| US10318795B2 (en) | Remote camera access | |
| CN107042811B (zh) | 车辆安全和认证系统 | |
| CN107444309B (zh) | 车辆网络通信保护 | |
| US11524656B2 (en) | Independent vehicle security method and apparatus | |
| US10778655B2 (en) | Secure control and access of a vehicle | |
| CN109195840A (zh) | 利用便携式装置进行车辆访问和功能控制的设备、系统和方法 | |
| JP6813689B2 (ja) | 車両用制御システム | |
| US10124766B2 (en) | Method for controlling the operation of at least one functional component of a motor vehicle and motor vehicle | |
| JP2006021598A (ja) | 車両用盗難防止システム | |
| KR102411797B1 (ko) | 하드웨어 기반의 차량 사이버보안시스템 | |
| JP7432472B2 (ja) | 車両制御装置、車両制御システム、および車両制御方法 | |
| WO2021145235A1 (ja) | 自動バレーパーキングシステム | |
| CN111464969B (zh) | 车载联网电子系统的控制方法 | |
| CN115973093A (zh) | 一种汽车安全防护方法、汽车及存储介质 | |
| CN114684069A (zh) | 一种车辆防盗的启动授权方法和装置 | |
| GB2564909A (en) | Message monitoring and transmission device and method | |
| CN116456337A (zh) | 钥匙安全认证方法、装置、车辆及存储介质 | |
| Sabek et al. | Advancements and Hurdles in the Evolution of Automotive Wireless Interfaces: A Technical Exploration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |