CN111131313B

CN111131313B - 智能网联汽车更换ecu的安全保障方法及***

Info

Publication number: CN111131313B
Application number: CN201911418620.6A
Authority: CN
Inventors: 修佳鹏; 杨正球; 刘楠; 王安生; 刘辰; 王开宇
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2019-12-31
Filing date: 2019-12-31
Publication date: 2021-05-11
Anticipated expiration: 2039-12-31
Also published as: CN111131313A

Abstract

本发明提供一种智能网联汽车更换ECU的安全保障方法及***。通过由专用设备SE向远程服务提供商TSP发送通信请求，建立安全通信信道；SE和TSP进行双向身份认证；接收操作员身份标识信息，对操作员验证；接收车主身份标识信息，对车主验证，接收TSP与车主关联车辆第一验证信息；基于接收车辆信息通过OBD接口与车辆连接，获取车辆第二验证信息，与第一验证信息比较来验证车辆；接收新ECU身份识别信息，发送至TSP验证，验证成功后TSP生成新ECU数字证书文件和新ECU公钥信息；将数字证书文件刷写至新ECU，将新ECU公钥信息发送至AECU。通过专有设备SE的引入，保障更换ECU后，车辆能正常运行。

Description

智能网联汽车更换ECU的安全保障方法及***

技术领域

本发明涉及智能网联汽车信息安全领域，尤其涉及一种智能网联汽车更换ECU(Electronic Control Unit，电子控制单元)的安全保障方法及***。

背景技术

随着汽车智能化、网联化程度的不断提高，使得智能网联汽车信息安全问题日益严峻，黑客入侵智能网联汽车的情况时有发生，汽车厂商由于信息安全问题召回车辆事件频发，给隐私保护，行驶安全，交通管理等都造成了严重的威胁，网联汽车信息安全保障已经成为汽车产业甚至全社会关注的焦点问题。图1是现有智能网联汽车内部网络结构示意图，如图1所示，智能网联汽车内部包含车载传感器、控制器、执行器等电子控制单元ECU，此外还包括域控制器、网关、以及各种接口/交互设备。智能网联汽车融合了现代通信与网络技术，能够实现车与X(车、路、人、云等)的智能信息交换，能够感知周边复杂环境并做出即时智能决策，可以帮助驾驶人员达成对智能网联汽车自身的协同控制，并最终替代人实现自动化智能驾驶。对于智能网联汽车来说，作为整体参与车联网的活动，在汽车内部，存在支持车内部各组件之间通信的网络。智能网联汽车中，ECU尤为重要，如图2所示，ECU包括微处理器(MCU)、模数转换器(A/D)以及整形、驱动等大规模集成电路，MCU包括存储器(ROM、RAM)、CPU、输入/输出接口(I/O)等。ECU相当于汽车各个***的大脑，控制着如发动机、变速箱、车灯等部件的运行，通过与车内总线相连，各ECU之间进行信息传递。

随着智能网联汽车车载内部ECU组件的增多，在现有CAN总线的机制下，车载ECU的安全威胁随着汽车网联化的进程越来越严重。在这种情况下，可通过添加AECU(认证ECU)来为ECU进行身份认证。在每次汽车点火自检过程中，AECU负责生成本次行驶过程中有效的会话密钥，并且在对各工作ECU身份认证通过的情况下，向各ECU分发本次行驶的会话密钥，使得各工作ECU在加密的情况下正常通信，确保汽车不受消息伪造、拒绝服务、重放等攻击，确保汽车安全。

在身份认证和加密机制的保障下，ECU之间的通信安全性大大提高，但是，在ECU因故障等原因需要更换的情况下，如何保证新ECU更换后能够在车载的身份认证和加密通信的机制中有效，这是一个有待解决的问题。

发明内容

鉴于此，本发明实施例提供了一种智能网联汽车更换ECU的安全保障方法及***，以改善现有技术中ECU在进行更换的过程中易被非法操作的问题。

本发明的技术方案如下：

根据本发明实施例的一个方面，提供了一种智能网联汽车更换ECU的安全保障方法，该安全保障方法包括以下步骤：

由专用设备SE发送通信请求至远程服务提供商TSP，以建立安全通信信道；

在专用设备SE和TSP间进行双向身份认证；

SE接收操作员的身份标识信息，通过TSP对操作员进行验证；

SE接收车主的身份标识信息，通过TSP对车主进行验证，并接收来自TSP的与车主关联的车辆第一验证信息；

基于接收的车辆信息通过车载诊断接口OBD接口与车辆进行连接，从所述车辆获取车辆第二验证信息，并通过与第一验证信息进行比较来验证车辆；

SE读取新ECU的身份标识信息，并发送至TSP进行验证，并在验证成功后接收来自TSP的新ECU的数字证书文件及公钥信息；

向新ECU刷写数字证书文件；

向AECU刷写新ECU的公钥信息。

在一些实施例中，在SE接收到TSP对所述通信请求的响应后，在专用设备和TSP间进行双向身份认证之前，所述方法还包括：

对TSP发送的数字证书有效性进行验证；若所述数字证书文件信息有效，发送使用数字证书公钥加密的随机生成的通信的会话密钥至TSP；

通过第一私钥解密后获得所述会话密钥。

在一些实施例中，所述在专用设备和TSP间进行双向身份认证的步骤包括：

由专用设备SE发送自身身份标识信息至TSP，在SE自身身份标识信息通过验证后，接收TSP的自身身份标识信息，并在TSP自身身份标识信息通过验证后，向TSP发送对TSP自身身份标识信息的确认信息。

在一些实施例中，所述操作员的身份标识信息，包括：操作员的用户信息、操作员设定的用户密码、人脸识别及操作员接收到的动态口令。

在一些实施例中，对接收到的所述车主身份标识信息及所需维修车辆进行验证，包括：车主设定的账号、车主设定的与所述账号相对应的密码、人脸识别及所述车主手机接收到的动态口令。

根据本发明的一些实施例，提供了一种智能网联汽车更换ECU的安全保障方法，该安全保障方法包括以下步骤：

远程服务提供商TSP接收SE发送的通信请求，以建立安全通信信道；

在远程服务提供商TSP和SE间进行双向身份认证；

TSP接收到SE发送的操作员信息并进行验证；

TSP接收到SE发送的车主身份标识信息认证请求，对车主进行验证，并发送与车主相关联的车辆第一验证信息；

TSP接收SE发送的新ECU的身份标识信息的验证请求，并在验证成功后，向SE发送新ECU的数字证书文件及公钥信息，以由向新ECU刷写数字证书文件，向AECU刷写公钥信息。

在一些实施例中，所述双向身份认证，包括：

接收SE发送的自身身份标识信息，在SE自身身份标识信息通过验证后，向SE发送远程服务提供商TSP的自身身份标识信息，并在TSP的自身身份标识信息通过验证后，接收到SE发送到的对TSP自身身份标识信息的确认信息。

在一些实施例中，接收到SE发送的车主身份标识信息认证请求，对车主进行验证，并发送与车主相关联的车辆第一验证信息，还包括：

SE接收到与车主关联的车辆第一验证信息；

基于接收的车辆信息通过车载诊断接口OBD接口与车辆进行连接，SE从所述车辆获取车辆第二验证信息，并通过与第一验证信息进行比较来验证车辆。

根据本发明的一些实施例，提供了一种智能网联汽车更换ECU的安全保障装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述任一实施例所述的任一项所述方法的步骤。

根据本发明实施例的另一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现任一实施例所述方法的步骤。

本发明实施例的智能网联汽车更换ECU的安全保障方法及***，通过使用不同的通信密钥对车载ECU的通信进行加密，并且对车载ECU进行身份认证，有利于保证车载ECU在汽车行驶的生命周期当中不被恶意篡改或冒充，进而更加有效的保证车载信息***的安全。同时，通过添加AECU为ECU进行身份认证。在每次汽车点火自检时，AECU生成本次行驶的临时会话密钥，AECU对工作ECU进行身份认证，在身份认证通过的情况下，为本次行驶分发会话密钥，使得ECU在加密的情况下正常通信，确保汽车***不受消息伪造、拒绝服务、重放等攻击，以确保汽车安全。

本发明的附加优点、目的，以及特征将在下面的描述中将部分地加以阐述，且将对于本领域普通技术人员在研究下文后部分地变得明显，或者可以根据本发明的实践而获知。本发明的目的和其它优点可以通过在书面说明及其权利要求书以及附图中具体指出的结构实现到并获得。

本领域技术人员将会理解的是，能够用本发明实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。附图中的部件不是成比例绘制的，而只是为了展示出本发明的原理。为了便于示出和描述本发明的一些部分，附图中对应部分可能被放大，即，相对于依据本发明实际制造的示例性装置中的其它部件可能变得更大。在附图中：

图1是现有智能网联汽车内部网络结构示意图；

图2是现有智能网联汽车ECU的结构示意图；

图3是本发明一实施例的智能网联汽车更换ECU的安全保障方法流程示意图；

图4是本发明另一实施例的智能网联汽车更换ECU的安全保障方法的流程示意图；

图5是本发明一实施例的智能网联汽车更换ECU的安全保障方法的操作时序图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

在本发明实施例中，通过在更换ECU的过程中引入专用设备SE，专有设备在更换ECU的过程中承担着多方通信，验证的功能。

图3所示为本发明实施例提供的一种智能网联汽车更换ECU的安全保障方法，该方法可由专用设备SE来执行，该方法可包括以下步骤S110至步骤S180。

步骤S110：由专用设备(SE：Special Equipment)向远程服务提供商TSP发送通信请求，以建立安全通信信道。

本实施例中通过与TSP(Telematics Service Provider，汽车远程服务提供商，汽车厂商提供服务的云平台)建立通信信道，以便在之后的通信过程中，与TSP服务器利用持有的会话密钥加密所用通信内容。

在步骤S110中，对TSP发送的数字证书有效性进行验证；若所述数字证书文件信息有效，发送使用数字证书公钥加密的随机生成的通信的会话密钥至TSP；通过第一私钥解密后获得会话密钥。

其中，数字证书可以是证书授权中心(Certificate Authority,即CA)颁发的证书文件。证书授权中心为每个使用公开密钥的用户发放一个数字证书，该证书文件包含公钥、证书名称、授权中心的数字签名、证书序列号等信息。同时，该数字证书是证明证书中列出的用户合法拥有证书中列出的公开密钥；并且，其数字签名使网络攻击者不能伪造和篡改证书。证书授权中心不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。

若所述数字证书文件信息无效，则停止发送随机生成的通信的会话密钥至TSP，并且中断通信信道的建立。

步骤S120：在专用设备和TSP间进行双向身份认证。

在步骤S120中，由专用设备SE发送自身身份标识信息至TSP，在SE自身身份标识信息通过验证后，接收TSP的自身身份标识信息，并在TSP自身身份标识信息通过验证后，向TSP发送对TSP自身身份标识信息的确认信息，通过上述过程完成双向身份认证。

步骤S130：接收操作员的身份标识信息，通过TSP对操作员进行验证。

其中，操作员的身份标识信息包括：操作员的用户信息、操作员设定的用户密码、人脸识别及操作员接收到的动态口令等多种信息。根据操作员所在位置及所使用的设备，对接收到操作员身份标识信息采取不同的认证方式，进而保证合法的操作人员对设备进行操作。

例如，当操作员使用的设备为常用设备，并且在工作单位时，则接收操作员输入的用户信息、用户密码进行验证；当操作员使用的设备为常用设备，操作员不在工作单位时，则接收操作员输入的用户名及密码及操作员所在位置后，对操作员进行人脸识别操作及接收动态口令进行验证；当操作员使用的设备并非常用设备，操作员在工作单位时，则接收操作员输入的用户名及密码及操作员所在位置后，对操作员进行人脸识别操作及接收动态口令进行验证；当操作员使用的设备并非常用设备，并且操作员不在工作单位时，则接收操作员输入的用户信息、用户密码以及操作员所在位置，并且接收操作员输入的动态口令或者人脸识别操作进行验证等多种认证方式来对操作员的身份标识信息进行认证。

步骤S140：接收车主的身份标识信息，通过TSP对车主进行验证，并接收来自TSP的与车主关联的车辆第一验证信息。

具体地，车主的身份标识信息包括：车主设定的账号、车主设定的与所述账号相对应的密码、人脸识别及所述车主手机接收到的动态口令等多种信息。通过可获取的多种车主身份标识信息利用TSP对车主身份进行验证。在TSP对车主信息验证无误后，接收来自TSP的与车主关联的车辆第一验证信息。

同时，与车主关联的车辆第一验证信息是根据TSP平台通过车主身份唯一标识查询到车主所要维修汽车的身份信息的哈希值。该哈希值是通过车主信息、车辆出厂信息、出售时间、车架号等信息利用散列算法获得。并且哈希值可用于绑定车主和汽车的所属关系，会在车辆出售和更换汽车所有人时在TSP平台和车载存储单元中更新。

其中，哈希算法是任意长度的消息压缩到某一固定长度的消息摘要的函数。将获取的信息通过哈希算法变换成固定长度的输出，该输出就是哈希值。该转换是一种压缩映射，哈希空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，所以不可能从哈希值来确定唯一的输入值。并且哈希算法可以将一个数据转换为一个标志，这个标志与源数据内每一个字节都有存在紧密关系。哈希算法具有难以找到逆向规律的特点；在文件校验上，能检测并纠正数据传输中的信道误码，同时防止对数据的恶意破坏。常用的哈希算法包括MD4、D5、SHA-1等。

步骤S150：基于接收的车辆信息通过车载诊断接口OBD接口与车辆进行连接，从车辆获取车辆第二验证信息，并通过与第一验证信息进行比较来验证车辆。

具体地，TSP利用车主信息获得车主所要维修车辆身份信息的第一验证信息；基于接收的车辆信息通过车载诊断接口OBD接口与车辆进行连接，接收到存储在所需维修车辆内部的车辆身份信息的第二验证信息，对比第一验证信息与第二验证信息是否相等。

若第一验证信息与第二验证信息对比相等，则接收的来自TSP的与车主关联的车辆与所需维修车辆信息确认一致，并对车辆进行下一步操作；若第一验证信息与第二验证信息对比不相等，则向TSP发送车主信息及基于接收的车辆信息通过车载诊断接口OBD接口与车辆进行连接获得的车辆信息以进行信息核实。

步骤S160：接收新ECU的身份标识信息，并发送至TSP进行验证，并在验证成功后接收来自TSP的新ECU的数字证书文件。

具体地，SE通过OBD接口与车辆进行连接，对ECU进行更换，通过接口读取新ECU的身份标识信息，SE向TSP发送读取到的新ECU的身份标识信息的认证请求，并进行验证。在验证成功后，接收来自TSP的新ECU的数字证书文件。

其中，新ECU是新更换ECU，由于损坏或其他原因需要对原使用的ECU进行更换后的ECU。OBD接口(On-Board Diagnostic，车载诊断接口)是外界设备与车内CAN(ControllerArea Network，智能网联汽车中的控制器局域网络，支持车载ECU之间的通信)总线进行通信的接口，可向ECU发送读写命令。

新ECU的身份标识信息可以包括序列号、车架号、车辆制造商ECU硬件号及***供应商硬件号等身份信息。

步骤S170：向新ECU刷写数字证书文件。

其中，向ECU刷写文件的过程是通过外部数据刷写工具通过ECU通信网络，向ECU发送数据信息，实现ECU数据的管理和更新。ECU数据刷写能够单个或批量更改ECU内部的数据，甚至包括更新ECU程序代码，便捷地实现ECU数据更新。在ECU进行数据刷写时，为了避免对ECU进行破坏性拆装，通常利用OBD接口对ECU进行连接，基于CAN通信协议与ECU进行数据交互。ECU内部包含应用程序和可引导程序两个软件包，进而可以保证应用程序在刷写时不会崩溃。

步骤S180：向AECU刷写新ECU的公钥信息。

具体地，AECU需要保存全部工作ECU的公钥信息，以便在生成会话密钥后，能够将会话密钥已加密的形式分发给工作ECU，在执行写入操作时通常利用OBD接口对ECU进行连接，基于CAN通信协议与ECU进行数据交互。

其中，AECU(Authentication ECU，认证ECU)是一种特殊的ECU，通过负责在车辆内部ECU的通信过程中对ECU组件进行身份认证，进而支持ECU之间的加密通信，使车载ECU在汽车行驶的生命周期当中不被恶意篡改或冒充，更加有效的保证车载信息***的安全。在每次汽车点火自检时，AECU发送认证请求，并且在身份认证通过的情况下，为本次行驶分发会话密钥，使得ECU在加密的情况下正常通信，确保汽车不受消息伪造、拒绝服务、重放等攻击，确保汽车安全。

在对AECU写入这一过程中，只有在操作人员、汽车持有人、更换ECU全部认证通过的情况下才能进行，进一步保障AECU的写入安全。

完成上述步骤后，新ECU就具备了参与车载加密通信的条件，可以正常工作了。

在更换ECU并完成对ECU的认证后，启动汽车的过程中，AECU向各工作ECU发送认证请求，该请求可以使用ECC加密算法对认证请求进行加密，包含请求码Q，需进行身份认证的工作ECU的ID，对称加密密钥ES，随机数R，时间戳T。接收到认证请求的工作ECU使用ES加密ECU存储单元中的哈希值，自身ID，随机数R对认证请求应答。AECU通过对ID，哈希值的合法性进行判断；若ECU合法，则对合法ECU进行应答，应答的内容包含本次车载网通新的通信密钥ET，时间戳T，并通过对称加密算法ES进行加密。

当工作ECU收到认证通过的应答后，传输在车载网络的信息都是对传输消息mg和时间戳T，经过ES进行加密后的信息，工作ECU对使用密钥ET对密文进行解密即可。

其中，ECC加密算法(Elliptic curve cryptography，椭圆曲线密码学)，一种建立公开密钥加密的演算法，基于椭圆曲线数学。ECC的优势是在一些情况比其他的加密方法使用更小的密钥提供相比高级的或更高等级的安全保护。

对称加密算法是数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要通过使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。

在一些实施例中，AECU持有需要各个工作ECU的身份认证信息，需要对工作的ECU进行认证，AECU通过使用公钥加密算法生成会话密钥，有效避免固定密钥抗暴力破解和逆向风险；使用对称加密算法加密数据，使得计算快、安全性高、低成本；采用哈希算法来验证ECU固件完整性，防止篡改。

根据本发明实施例的另一方面，提供了一种智能网联汽车更换ECU的安全保障方法，该安全保障方法包括以下步骤：

通过在更换ECU的过程中，根据远程服务提供商TSP承担着多方通信，验证的功能。

图4所示为本发明另一实施例的智能网联汽车更换ECU的安全保障方法的流程示意图，该方法可由TSP来执行，参见图4，该方法可包括以下步骤S210至步骤S260。

步骤S210：远程服务提供商TSP接收SE发送的通信请求，以建立安全通信信道。

其中，SE是本发明中提出的一种专有设备，支持在ECU更换过程中的安全保障，负责对参与更换ECU的各对象进行认证，并更新AECU中NECU的信息。

在该步骤S210中，接收SE发送的通信请求；发送响应请求并及证书授权中心(Certificate Authority,即CA)颁发的证书文件；接收SE使用证书的公钥加密的随机生成本次通信的会话密钥，通过使用私钥解密后，得到随机生成本次通信的会话密钥。此时，通信信道建立完成，在之后的通信过程中，利用持有的会话密钥加密所用通信内容。

步骤S220：在远程服务提供商TSP和SE间进行双向身份认证。

具体地，接收SE发送的自身身份标识信息，在SE自身身份标识信息通过验证后，向SE发送远程服务提供商TSP的自身身份标识信息，并在TSP的自身身份标识信息通过验证后，接收到SE发送到的对TSP身份标识信息的确认信息。在完成双向身份认证后，确认双方状态均是安全、合法的。

步骤S230：接收到SE发送的操作员身份标识信息并进行验证。

在步骤S230中，对接收到的SE发送的认证后的操作员信息进行校验，SE发送的操作员信息根据操作员所在位置，所使用设备来进行信息的发送。例如，当操作员使用的设备为常用设备，并且在工作单位时，则接收操作员输入的用户信息、用户密码进行验证；当操作员使用的设备为常用设备，操作员不在工作单位时，则接收操作员输入的用户名及密码及操作员所在位置后，对操作员进行人脸识别操作及接收动态口令进行验证；当操作员使用的设备并非常用设备，操作员在工作单位时，则接收操作员输入的用户名及密码及操作员所在位置后，对操作员进行人脸识别操作及接收动态口令进行验证；当操作员使用的设备并非常用设备，并且操作员不在工作单位时，则接收操作员输入的用户信息、用户密码以及操作员所在位置，并且接收操作员输入的动态口令或者人脸识别操作进行验证等多种认证方式来对操作员的身份标识信息进行认证。根据操作员所处情况的不同，采用不同验证方式，来进一步确定操作员信息来保证合法的操作人员对设备进行操作。

步骤S240：接收到SE发送的车主身份标识信息认证请求，对车主进行验证，并发送与车主相关联的车辆第一验证信息。

在步骤S240中，还包括：SE接收到与车主关联的车辆第一验证信息；基于接收的车辆信息通过车载诊断接口OBD接口与车辆进行连接，SE从所述车辆获取车辆第二验证信息，并通过与第一验证信息进行比较来验证车辆。

具体地，接收到车主发送的用户信息并对车主信息进行认证；通过认证后，对车主信息进行校验，发送车主所要维修的车辆信息的第一验证信息至SE；通过OBD接口连接车辆，根据所需维修车辆的第一验证信息与存储在所需维修车辆内部的车辆身份信息的第二验证信息进行对比，以确认信息的匹配性。

步骤S250：接收SE发送的新ECU的身份标识信息的验证请求，并在验证成功后，向SE发送新ECU的数字证书文件。

具体地，新ECU的身份标识信息可以是序列号、车架号、车辆制造商ECU硬件号及***供应商硬件号等身份信息。例如，新ECU的身份标识信息为序列号。SE通过OBD与车辆进行连接，并对ECU进行更换，通过SE的接口读取新ECU序列号信息，该序列号信息存储在ECU的安全模块中，通过利用该标识校验该ECU是否合法。

接收SE发送的更换后的ECU的序列号的认证请求；认证通过后，通过序列号和已查询的车辆信息生成新ECU数字证书文件给SE，SE将数字证书文件刷写入新ECU，在新ECU刷写成功后，获取新ECU的第三验证信息。

步骤S260：向AECU刷写新ECU的公钥信息。

其中，AECU要对各ECU认证，并在认证成功的情况下分发会话密钥。AECU持有工作ECU的公钥，在每次认证及分发密钥之前，AECU使用各ECU的公钥对随机生成的会话进行非对称加密，之后传输加密结果给ECU，ECU使用私钥对加密内容进行解密，在拿到会话密钥后，等待全部ECU认证通过后,使用会话密钥进行通信。

为使本领域技术人员更好地了解本发明，下面将以具体实施例说明本发明的实施方式。图5是本发明一具体实施例的智能网联汽车更换ECU的安全保障方法的时序图，参见图5，该方法包括以下步骤：

步骤1.启动专有设备SE。

步骤2.专有设备(SE)与TSP建立安全通信信道：

更具体地，SE向TSP发送通信请求，TSP响应请求并返回证书授权中心(Certificate Authority,即CA)颁发的证书文件，该证书文件包含公钥、证书名称、授权中心的数字签名、证书序列号等信息。SE验证证书的有效性，验证成功后，随机生成本次通信的会话密钥，SE使用证书的公钥加密会话密钥，发送给TSP服务器，服务器收到公钥加密的会话密钥后，使用私钥解密，得到会话密钥，通信信道建立完成，在之后的通信过程中，SE与TSP服务器利用持有的会话密钥加密所用通信内容。

步骤3.建立安全通信信道后，SE向TSP发送身份标识信息，TSP验证通过后发送自己的身份标识信息，SE验证通过后返回确认信息，双向身份验证完成。

步骤4.发送操作员信息至SE。

步骤4.1.SE将接收到的操作员身份认证信息发送TSP进行信息认证并校验：

具体地，为保障操作安全，SE在使用前会对操作人员进行身份认证：认证方式采取多种形式，根据操作人员使用的设备和当前所在位置，采取不同的策略，保证合法的操作人员对设备进行操作。如在操作人员工作单位使用SE时，需输入用户名及密码信息进行验证；如操作人员需要外出维修，需要在输入用户名和密码后根据SE的定位信息，进一步输入动态口令或人脸识别等验证方式确保操作人员的合法操作。

步骤5.发送车主输入的车主信息至SE。

步骤5.1.SE接收车主信息并向TSP发送，TSP对车主身份认证信息进行认证并校验。

步骤5.2.车主认证通过后，TSP平台通过车主身份唯一标识查询车主所要维修汽车的身份信息的第一验证信息。

步骤5.3.SE在从TSP获取到所要维修汽车的身份第一验证信息后，通过OBD(On-Board Diagnostic)接口连接车辆，并请求获取存储在汽车内部的第二验证信息。

步骤5.4.通过第一验证信息与第二验证信息进行对比相等后，确认车主和所需维修车辆的信息：

详细地，对车主身份进行认证，认证的目的是确保维修车辆的来源合法。车主可通过多种方式进行认证，账号\密码、人脸识别、手机动态口令等方式向TSP平台进行认证。车主认证通过后，TSP平台通过车主身份唯一标识查询车主所要维修汽车的身份信息的Hash(C)值，该值通过车主信息、车辆出厂信息、出售时间、车架号等信息通过散列算法(MD5、SHA-1等)得出。用来绑定车主和汽车的所属关系，会在车辆出售和更换汽车所有人时在TSP平台和车载存储单元中更新。SE在从TSP获取到所要维修汽车的身份Hash(C)后，通过OBD(On-Board Diagnostic)接口连接车辆，并请求获取存储在汽车内部的Hash(C)值，当两个Hash(C)值进行对比相等后，确认车主和所需维修车辆的信息。

步骤6.通过SE的接口读取新ECU的身份标识信息：SE在获取到新ECU的序列号后，向TSP请求认证。

步骤6.1.认证通过后，TSP通过序列号和已查询的车辆信息生成新ECU数字证书文件和公钥信息发送给SE。

对步骤6具体说明，SE通过OBD与车辆进行连接，并对ECU进行更换，通过SE的接口读取NECU序列号信息，该序列号信息存储在ECU的安全模块中，是合法ECU的唯一身份标识，TSP平台可利用该标识向ECU厂商校验该ECU是否合法。

步骤7.SE将数字证书文件刷写入新ECU。

步骤8.SE向AECU刷写新ECU的公钥信息。

综上所述，本发明实施例的智能网联汽车更换ECU的安全保障方法，通过引入专有设备为汽车提供更换电子设备的安全保障，并且对更新后的ECU的合法性进行保障。

相应地，本发明的一些实施例还提供了一种智能网联汽车更换ECU的安全保障装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述任一实施例的方法步骤。

本发明的一些实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现任一实施例的方法步骤。

在更换ECU的过程中，专有设备承担着多方通信，验证的功能。首先专有设备与TSP平台建立安全通信信道，保障通信，并相互验证身份；之后操作员和车主分别进行身份验证，认证的方式包含多种，以适应不同的场景需求，以此来保障对车辆的合法操作，避免对来源不明的车辆进行维修更换ECU；同时对车辆和ECU进行认证并通过加密的方法保证AECU的写入安全性。

本领域普通技术人员应该可以明白，结合本文中所公开的实施方式描述的各示例性的组成部分、***和方法，能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或***。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

本发明中，针对一个实施方式描述和/或例示的特征，可以在一个或更多个其它实施方式中以相同方式或以类似方式使用，和/或与其他实施方式的特征相结合或代替其他实施方式的特征。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种智能网联汽车更换ECU的安全保障方法，其特征在于，该安全保障方法包括以下步骤：

由专用设备SE向远程服务提供商TSP发送通信请求，以建立安全通信信道；

在专用设备和TSP间进行双向身份认证；

SE接收操作员的身份标识信息，通过TSP对操作员进行验证；

向新ECU刷写数字证书文件；

向AECU刷写新ECU的公钥信息。

2.如权利要求1所述的安全保障方法，其特征在于，在专用设备SE接收到TSP对所述通信请求的响应后，在专用设备和TSP间进行双向身份认证之前，所述方法还包括：

通过第一私钥解密后获得所述会话密钥。

3.如权利要求1所述的安全保障方法，其特征在于，所述在专用设备和TSP间进行双向身份认证的步骤包括：

4.如权利要求1所述的安全保障方法，其特征在于，所述操作员的身份标识信息，包括：操作员的用户信息、操作员设定的用户密码、人脸识别及操作员接收到的动态口令。

5.如权利要求1所述的安全保障方法，其特征在于，所述车主身份标识信息，包括：车主设定的账号、车主设定的与所述账号相对应的密码、人脸识别及所述车主手机接收到的动态口令。

6.一种智能网联汽车更换ECU的安全保障方法，其特征在于，该安全保障方法包括以下步骤：

在远程服务提供商TSP和SE间进行双向身份认证；

TSP接收到SE发送的操作员身份标识信息并进行验证；

TSP接收SE发送的新ECU的身份标识信息的验证请求，并在验证成功后，向SE发送新ECU的数字证书文件及公钥信息，以由SE向新ECU刷写数字证书文件，向AECU刷写新ECU公钥信息。

7.如权利要求6所述的安全保障方法，其特征在于，所述双向身份认证，包括：

接收SE发送的自身身份标识信息，在SE自身身份标识信息通过验证后，向SE发送远程服务提供商TSP的自身身份标识信息，并在TSP的自身身份标识信息通过验证后，接收到SE发送到的对TSP身份标识信息的确认信息。

8.如权利要求6所述的安全保障方法，其特征在于，接收到SE发送的车主身份标识信息认证请求，对车主进行验证，并发送与车主相关联的车辆第一验证信息，还包括：

SE接收到与车主关联的车辆第一验证信息；

9.一种智能网联汽车更换ECU的安全保障装置，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至8任一项所述方法的步骤。