车载联网
2019-11-22

车载联网

一种用于确保车载总线上的通信的安全的系统和方法,包括:在车辆中的网关与车载总线之间建立连接;在车辆内的网关处生成会话密钥;向所述网关和所述车辆的电子控制单元发送公共密钥证书和暂时密钥;分别在所述网关和所述电子控制单元处生成共享秘密;在网关处利用所述共享秘密加密会话密钥;在所述电子控制单元处通过所述车载总线接收加密的会话密钥;以及在所述电子控制单元处基于生成的共享秘密对加密的会话密钥进行解密。

RoT、加密和解密引擎可以包括执行或支持所述加密功能的处理器或程序的一部分。描述安全协议的一系列步骤涉及两个或更多个被设计用于完成确保车载总线通信的安全的任务的实体。“一系列步骤”意指该协议具有从开始到结束的顺序。除非另有说明,否则每个步骤依次完成,在上一步完成之前没有采取任何步骤,其中一些步骤是可选的,例如确认肯定应答消息。“涉及两个或更多个实体”意指需要至少两个或更多个实体来建立协议(例如,节点和网关、一个或多个节点和网关等)。最后,“设计为完成确保车载总线通信的安全的任务”意味着协议必须确保车载总线上的通信的安全。看起来像协议但没有完成确保车载总线通信的安全的任务的事物不是安全协议。

在此期间,当节点正在更新会话密钥时,节点继续使用旧会话密钥对其数据进行签名,直到它们收到更新密钥结束消息为止。在此期间使用旧会话密钥和新会话密钥两者来执行安全消息验证,其中,首先处理新会话密钥,后面是依次处理旧会话密钥。一旦更新密钥结束消息被广播,则所有节点都切换到使用新会话密钥进行签名。

在图1中,在本公开内容中,ECU1-5连接到车载通信链路,车载通信链路也称为车载网络和车载总线。CAN总线是车载总线的示例。ECU是嵌入式电子设备(例如,专用数字计算机或信号处理器),其读取从位于车辆各个部分的车载传感器发送的信号,以监视车辆状况。传感器通过将非电能量转换为离散或模拟信号来检测或测量状况。例如,如图2所示的诸如能够用无线电(OTA)通信的高级驾驶员辅助系统(ADAS)、动力总成控制器,制动系统和集群之类的ECU通过信任根(rootoftrust,RoT)进行通信,所述信任根可以远离(如图2中的信任锚点所示)网关或是网关的整体部分。RoT用作由固有信任的硬件和软件组成的单独的计算引擎。RoT控制受信任的计算平台的加密处理器(该加密处理器可以嵌入在车辆内的网关中),可以安全地存储加密密钥,可以安全地存储证书链,可以提供应用和数据隔离,和/或可以安全地签署证书,所述证书由安全协议相关联或验证。如图所示,网关之外的所有车辆内容(例如车身ECU、制动ECU、动力总成ECU、集群ECU、ADASECU等)都位于RoT的受信任侧(在信任锚点的右边),尽管在其他配置和实现中,一些控制器可能不是如此。例如,具有非常低的处理能力的车身ECU可以连接到不受信任侧(位于信任锚点的左边)上的车载通信链路,因为其功能有限或其功能作为更高级控制器的端点。在图2中,车身ECU被显示在受信任侧,因为其功能可以包括控制头灯、电动窗和/或门锁,所有这些都可能被集成到漏洞利用中(例如,夜间没有头灯,雷暴中打开窗户等)。

图1示出了通过无线网络连接到远程节点或远程目的地的车辆。车辆包括嵌入在车辆中的多个电子控制单元(ECU)和接口,以从车辆内控制车辆的系统或子系统中的一个或多个。示例ECU和接口包括但不限于:电子/引擎控制模块(ECM)、动力总成控制模块(PCM)、变速器控制模块(TCM)、制动控制模块(BCM)、中央控制模块(CCM)、中央定时模块(CTM)、通用电子模块(GEM)、车身控制模块(BCM)、悬架控制模块(SCM)、娱乐和舒适控制模块(ECCM)、无源无钥匙进入(PKE)、远程链路应用接口、车辆到车辆(V-2-V)、V-2-I、V-2-R和/或V-2-P的专用短距离通信收发器(DSRCT)、引擎和变速器单元、安全气囊模块、照明模块、车辆接入系统、车载诊断接口(OBDI)、通用串行总线接口、蓝牙接口、智能手机接口等,其中五个是由图1中的附图标记1至5指定的。