本公開一般涉及計(jì)算機(jī)領(lǐng)域,具體涉及信息處理安全領(lǐng)域,尤其涉及一種車輛信息安全控制設(shè)備。
背景技術(shù):
一臺(tái)車輛的電子控制單元(ECU)有上百個(gè)。ECU和普通的電腦一樣,由微處理器(CPU)、存儲(chǔ)器(ROM、RAM)、輸入/輸出接口(I/O)、模數(shù)轉(zhuǎn)換器(A/D)以及整形、驅(qū)動(dòng)等大規(guī)模集成電路組成。
通過將安裝在車輛上的多個(gè)ECU經(jīng)由網(wǎng)絡(luò)相互連接,能夠交換ECU具有的信息(車輛信息)。在這個(gè)由ECU連接而成的系統(tǒng)中,經(jīng)由網(wǎng)絡(luò)連接的ECU能夠容易地交換車輛信息。但是,也容易將連接到網(wǎng)絡(luò)的ECU拆卸,或者錯(cuò)誤地將一個(gè)未被授權(quán)的ECU附連到網(wǎng)絡(luò)。當(dāng)一個(gè)未被授權(quán)的新接入或錯(cuò)誤地接入的ECU試圖訪問現(xiàn)有的ECU時(shí),現(xiàn)有ECU的安全就會(huì)受到影響,容易泄露車輛信息。
因此,需要一種車輛信息安全控制設(shè)備,其能夠使ECU之間的信息交換更安全。
技術(shù)實(shí)現(xiàn)要素:
鑒于現(xiàn)有技術(shù)中的上述缺陷或不足,期望提供一種能夠使ECU之間的信息交換更安全的車輛信息安全控制設(shè)備。
本申請(qǐng)實(shí)施例提供了一種車輛信息安全控制設(shè)備,所述車輛信息安全控制設(shè)備包括認(rèn)證裝置、消息發(fā)送電子控制單元和消息接收電子控制單元,消息發(fā)送電子控制單元和消息接收電子控制單元都連接到認(rèn)證裝置,消息發(fā)送電子控制單元和認(rèn)證裝置之間具有第一連接,消息發(fā)送電子控制單元和消息接收電子控制單元之間具有第二連接,消息接收電子控制單元和認(rèn)證裝置之間具有第三連接。
在本申請(qǐng)實(shí)施例中,車輛信息安全控制設(shè)備不僅包括消息發(fā)送電子控制單元和消息接收電子控制單元,還包括認(rèn)證裝置,用于對(duì)消息發(fā)送電子控制單元的身份進(jìn)行認(rèn)證,從而保證消息發(fā)送電子控制單元發(fā)送給消息接收電子控制單元的消息安全。在消息發(fā)送電子控制單元和認(rèn)證裝置之間有第一連接,消息發(fā)送電子控制單元要想發(fā)送消息,可以通過第一連接請(qǐng)求認(rèn)證裝置對(duì)其身份認(rèn)證。認(rèn)證通過后,認(rèn)證裝置向消息發(fā)送電子控制單元發(fā)送認(rèn)證令牌。消息發(fā)送電子控制單元與認(rèn)證裝置之間有第二連接。消息發(fā)送電子控制單元將消息發(fā)送電子控制單元的標(biāo)識(shí)和所述認(rèn)證令牌通過第二連接發(fā)送給消息接收電子控制單元。消息接收電子控制單元和認(rèn)證裝置之間有第三連接。消息接收電子控制單元將接收到的消息發(fā)送電子控制單元的標(biāo)識(shí)和所述認(rèn)證令牌轉(zhuǎn)發(fā)到認(rèn)證裝置進(jìn)行認(rèn)證。認(rèn)證裝置根據(jù)向消息發(fā)送電子控制單元發(fā)放過的認(rèn)證令牌記錄進(jìn)行認(rèn)證,將認(rèn)證結(jié)果通過第三連接發(fā)送給消息接收電子控制單元。這樣,當(dāng)一個(gè)未被授權(quán)的新接入或錯(cuò)誤地接入的ECU試圖訪問現(xiàn)有的ECU時(shí),該未被授權(quán)的新接入或錯(cuò)誤地接入的ECU的身份在認(rèn)證裝置不可能通過認(rèn)證,從而不可能得到認(rèn)證令牌。即使該未被授權(quán)的新接入或錯(cuò)誤地接入的ECU偽造認(rèn)證令牌和消息發(fā)送電子控制單元的標(biāo)識(shí)發(fā)送給消息接收電子控制單元,由于接到認(rèn)證令牌和消息發(fā)送電子控制單元的標(biāo)識(shí)后消息接收電子控制單元還要將它們轉(zhuǎn)發(fā)到認(rèn)證裝置進(jìn)行認(rèn)證。偽造的認(rèn)證令牌和消息發(fā)送電子控制單元的標(biāo)識(shí)同樣無法通過認(rèn)證,達(dá)到了使ECU之間的信息交換更安全的目的。
附圖說明
通過閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本申請(qǐng)的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
圖1示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的車輛信息安全控制設(shè)備的示例性硬件結(jié)構(gòu)框圖;
圖2示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的認(rèn)證裝置的內(nèi)部示例性硬件結(jié)構(gòu)框圖之一。
圖3示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的認(rèn)證裝置的內(nèi)部示例性硬件結(jié)構(gòu)框圖之二。
具體實(shí)施方式
下面結(jié)合附圖和實(shí)施例對(duì)本申請(qǐng)作進(jìn)一步的詳細(xì)說明??梢岳斫獾氖?,此處所描述的具體實(shí)施例僅僅用于解釋相關(guān)實(shí)用新型,而非對(duì)該實(shí)用新型的限定。另外還需要說明的是,為了便于描述,附圖中僅示出了與實(shí)用新型相關(guān)的部分。
需要說明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本申請(qǐng)。
請(qǐng)參考圖1,其示出了根據(jù)本申請(qǐng)一個(gè)實(shí)施例的車輛信息安全控制設(shè)備1的示例性硬件結(jié)構(gòu)框圖。
如圖1所示,車輛信息安全控制設(shè)備1可以包括認(rèn)證裝置11、消息發(fā)送電子控制單元(ECU)13和消息接收電子控制單元12。
如背景技術(shù)所述,一臺(tái)車輛的電子控制單元(ECU)有上百個(gè)。通過將安裝在車輛上的多個(gè)ECU經(jīng)由網(wǎng)絡(luò)相互連接,能夠交換ECU具有的信息(車輛信息)。其中,這些電子控制單元中試圖發(fā)送消息的電子控制單元稱為消息發(fā)送電子控制單元13,這些電子控制單元中要接收消息的電子控制單元稱為消息接收電子控制單元12。認(rèn)證裝置11是用于對(duì)消息發(fā)送電子控制單元的身份進(jìn)行認(rèn)證,從而保證消息發(fā)送電子控制單元發(fā)送給消息接收電子控制單元的消息安全性的裝置,其硬件結(jié)構(gòu)在下面結(jié)合圖2描述。
消息發(fā)送電子控制單元13和消息接收電子控制單元12都連接到認(rèn)證裝置11。
消息發(fā)送電子控制單元13和認(rèn)證裝置11之間具有用于消息發(fā)送電子控制單元向認(rèn)證裝置發(fā)送消息發(fā)送電子控制單元的標(biāo)識(shí)、認(rèn)證裝置向消息發(fā)送電子控制單元發(fā)送認(rèn)證令牌的第一連接14。消息發(fā)送電子控制單元13要想發(fā)送消息,首先通過第一連接14請(qǐng)求認(rèn)證裝置11對(duì)其身份認(rèn)證,即通過第一連接14向認(rèn)證裝置11發(fā)送認(rèn)證其身份的 請(qǐng)求。認(rèn)證裝置11接收到該請(qǐng)求后,主動(dòng)查詢消息發(fā)送電子控制單元13的標(biāo)識(shí)。主動(dòng)查詢的方法例如通過該請(qǐng)求中的特定字段直接讀出該消息發(fā)送電子控制單元的標(biāo)識(shí)。在消息發(fā)送電子控制單元13和認(rèn)證裝置11的通信協(xié)議中規(guī)定,消息發(fā)送電子控制單元13向認(rèn)證裝置11發(fā)送的消息中的特定字段自動(dòng)放入消息發(fā)送電子控制單元的標(biāo)識(shí)。該特定字段不能人為操縱而更改。這樣,如果消息發(fā)送電子控制單元是一個(gè)未被授權(quán)的新接入或錯(cuò)誤地接入的ECU,該特定字段讀出的消息發(fā)送電子控制單元標(biāo)識(shí)就是該未被授權(quán)的ECU的標(biāo)識(shí)而不能人為更改,這樣在認(rèn)證裝置必然通不過驗(yàn)證。如果不采用主動(dòng)查詢的方式,而是讓消息發(fā)送電子控制單元13上報(bào)其標(biāo)識(shí),消息發(fā)送電子控制單元13本身可能是一個(gè)未被授權(quán)的電子控制單元,但其知道另外一個(gè)已授權(quán)的電子控制單元的標(biāo)識(shí)從而將該已授權(quán)的電子控制單元的標(biāo)識(shí)偽裝成自己的標(biāo)識(shí)發(fā)送給認(rèn)證裝置,從而通過認(rèn)證。
認(rèn)證通過后,認(rèn)證裝置11通過第一連接14向消息發(fā)送電子控制單元13發(fā)送認(rèn)證令牌。認(rèn)證令牌可以體現(xiàn)為一個(gè)包括數(shù)字、字母的序列。在一個(gè)實(shí)施例中,在不同次的認(rèn)證中,認(rèn)證裝置11發(fā)放的認(rèn)證令牌互不相同。
消息發(fā)送電子控制單元13和消息接收電子控制單元12之間具有用于消息發(fā)送電子控制單元13向消息接收電子控制單元12傳遞消息發(fā)送電子控制單元的標(biāo)識(shí)和所述認(rèn)證令牌的第二連接15。
消息發(fā)送電子控制單元13接收到認(rèn)證令牌后,將消息發(fā)送電子控制單元13的標(biāo)識(shí)和所述認(rèn)證令牌、可能還有要發(fā)送的消息包通過第二連接15發(fā)送給消息接收電子控制單元12。
消息接收電子控制單元12和認(rèn)證裝置11之間具有用于消息接收電子控制單元12向認(rèn)證裝置11轉(zhuǎn)發(fā)消息接收電子控制單元接收到的消息發(fā)送電子控制單元的標(biāo)識(shí)和所述認(rèn)證令牌、認(rèn)證裝置11向消息接收電子控制單元12返回認(rèn)證結(jié)果的第三連接16。
消息接收電子控制單元12接收到消息發(fā)送電子控制單元13發(fā)來的其標(biāo)識(shí)、所述認(rèn)證令牌、消息包后,先不打開消息包,而是向認(rèn)證裝置11轉(zhuǎn)發(fā)消息接收電子控制單元12接收到的消息發(fā)送電子控制單 元的標(biāo)識(shí)和所述認(rèn)證令牌。由于認(rèn)證裝置11在向消息發(fā)送電子控制單元13每發(fā)放一塊認(rèn)證令牌,都會(huì)將認(rèn)證令牌與作為發(fā)放該認(rèn)證令牌的對(duì)象的消息發(fā)送電子控制單元的標(biāo)識(shí)相對(duì)應(yīng)地記錄。這樣,當(dāng)認(rèn)證裝置11接收到消息接收電子控制單元12轉(zhuǎn)發(fā)的認(rèn)證令牌和消息發(fā)送電子控制單元的標(biāo)識(shí)后,將其與曾發(fā)放的認(rèn)證令牌與作為認(rèn)證令牌發(fā)放對(duì)象的消息發(fā)送電子控制單元的標(biāo)識(shí)的對(duì)應(yīng)記錄進(jìn)行比對(duì)。如果在對(duì)應(yīng)記錄中,則認(rèn)證通過,通過第三連接16向消息接收電子控制單元12返回認(rèn)證通過消息。消息接收電子控制單元12可以打開消息包。否則,則認(rèn)證不通過,認(rèn)證裝置11通過第三連接16向消息接收電子控制單元12返回認(rèn)證失敗消息。消息接收電子控制單元12不能打開消息包,可以將其丟棄。
所述第一連接、第二連接、第三連接都既可以是有線連接,也可以是無線連接。
如圖2所示,在一個(gè)實(shí)施例中,所述認(rèn)證裝置11包括收發(fā)器111、認(rèn)證器113。所述收發(fā)器111連接到認(rèn)證器113。收發(fā)器111可采用一般的收發(fā)信機(jī),例如在無線通信的情況下,可以采用天線。認(rèn)證器可以采用處理器的形式。
在上述消息發(fā)送電子控制單元13向認(rèn)證裝置11請(qǐng)求認(rèn)證令牌的過程中,收發(fā)器111通過所述第一連接14接收消息發(fā)送電子控制單元發(fā)送的請(qǐng)求(特定字段中含有其標(biāo)識(shí))。認(rèn)證器11存儲(chǔ)有已授權(quán)電子控制單元的列表。如果接收的請(qǐng)求中含有的消息發(fā)送電子控制單元的標(biāo)識(shí)不在所述列表中,說明該消息發(fā)送電子控制單元是未被授權(quán)的新接入或錯(cuò)誤地接入的ECU,不能發(fā)放認(rèn)證令牌。如果接收的請(qǐng)求中含有的消息發(fā)送電子控制單元的標(biāo)識(shí)在所述列表中,則認(rèn)證器113生成認(rèn)證令牌,并通過收發(fā)器111經(jīng)由所述第一連接14發(fā)送認(rèn)證令牌。
已授權(quán)電子控制單元的列表也可以不存儲(chǔ)在認(rèn)證器113,而是存儲(chǔ)在與認(rèn)證器相連接的數(shù)據(jù)庫114中,如圖3所示。在接收到消息發(fā)送電子控制單元13的請(qǐng)求后,認(rèn)證器從數(shù)據(jù)庫114調(diào)取該列表。
認(rèn)證器113發(fā)放認(rèn)證令牌后,還將發(fā)放的認(rèn)證令牌和該認(rèn)證令牌所針對(duì)的消息發(fā)送電子控制單元的標(biāo)識(shí)相對(duì)應(yīng)地記錄在自身中。另外, 也可以將發(fā)放的認(rèn)證令牌和該認(rèn)證令牌所針對(duì)的消息發(fā)送電子控制單元的標(biāo)識(shí)相對(duì)應(yīng)地記錄在數(shù)據(jù)庫114,如圖3所示。
在上述消息接收電子控制單元12將消息發(fā)送電子控制單元13的標(biāo)識(shí)和認(rèn)證令牌發(fā)送給認(rèn)證裝置11請(qǐng)求認(rèn)證結(jié)果的過程中,收發(fā)器111還通過所述第三連接16接收消息接收電子控制單元12轉(zhuǎn)發(fā)的消息發(fā)送電子控制單元的標(biāo)識(shí)和所述認(rèn)證令牌。認(rèn)證器113基于消息發(fā)送電子控制單元的標(biāo)識(shí)和所述認(rèn)證令牌進(jìn)行認(rèn)證,即將其與自身存儲(chǔ)(如圖2所示)或數(shù)據(jù)庫114存儲(chǔ)(如圖3所示)的其發(fā)放的認(rèn)證令牌和針對(duì)的消息發(fā)送電子控制單元的標(biāo)識(shí)的對(duì)應(yīng)記錄進(jìn)行比對(duì)。如果接收的消息發(fā)送電子控制單元的標(biāo)識(shí)和所述認(rèn)證令牌不在所述對(duì)應(yīng)記錄中,則很有可能是消息發(fā)送電子控制單元是一個(gè)未授權(quán)的電子控制單元,為了訪問消息接收電子控制單元而偽造其標(biāo)識(shí)和/或認(rèn)證令牌發(fā)送給消息接收電子控制單元,認(rèn)證器11通過第三連接16將認(rèn)證失敗的認(rèn)證結(jié)果返回給消息接收電子控制單元,消息接收電子控制單元不能打開消息包。如果在所述對(duì)應(yīng)記錄中,認(rèn)證器11通過第三連接16將認(rèn)證通過的認(rèn)證結(jié)果返回給消息接收電子控制單元,消息接收電子控制單元能打開消息包。
以上描述僅為本申請(qǐng)的較佳實(shí)施例以及對(duì)所運(yùn)用技術(shù)原理的說明。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,本申請(qǐng)中所涉及的實(shí)用新型范圍,并不限于上述技術(shù)特征的特定組合而成的技術(shù)方案,同時(shí)也應(yīng)涵蓋在不脫離所述實(shí)用新型構(gòu)思的情況下,由上述技術(shù)特征或其等同特征進(jìn)行任意組合而形成的其它技術(shù)方案。例如上述特征與本申請(qǐng)中公開的(但不限于)具有類似功能的技術(shù)特征進(jìn)行互相替換而形成的技術(shù)方案。