CN112422595B - 车载***安全保护方法及设备 - Google Patents

车载***安全保护方法及设备 Download PDF

Info

Publication number
CN112422595B
CN112422595B CN201910770024.8A CN201910770024A CN112422595B CN 112422595 B CN112422595 B CN 112422595B CN 201910770024 A CN201910770024 A CN 201910770024A CN 112422595 B CN112422595 B CN 112422595B
Authority
CN
China
Prior art keywords
ecu
gateway
domain controller
signature information
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910770024.8A
Other languages
English (en)
Other versions
CN112422595A (zh
Inventor
高长剑
王勇
于映辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201910770024.8A priority Critical patent/CN112422595B/zh
Priority to JP2022510835A priority patent/JP7327731B2/ja
Priority to PCT/CN2020/110078 priority patent/WO2021032132A1/zh
Priority to EP20853836.3A priority patent/EP4016955B1/en
Publication of CN112422595A publication Critical patent/CN112422595A/zh
Priority to US17/675,966 priority patent/US20220173902A1/en
Application granted granted Critical
Publication of CN112422595B publication Critical patent/CN112422595B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Multimedia (AREA)
  • Bioethics (AREA)
  • General Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Business, Economics & Management (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供车载***安全保护方法及设备,涉及车联网技术领域,可以根据网关、域控制器以及电子控制单元的安全等级的要求,在网关上部署第一安全保护模块,在域控制器上部署第二安全保护模块,在电子控制单元上部署第三安全保护模块,以使得网关、域控制器以及电子控制单元的安全等级不同。其中,第一安全保护模块的安全等级是第一安全等级,第二安全保护模块的安全等级是第二安全等级,第三安全保护模块的安全等级是第三安全等级。

Description

车载***安全保护方法及设备
技术领域
本申请涉及车联网技术领域,尤其涉及车载***安全保护方法及设备。
背景技术
目前,具备通讯功能的车辆可以通过互联网与智能手机等移动终端设备相连,用于执行各种功能,例如,车辆定位,获取车辆信息等。因此,具备通信功能的车辆相较于机械式的车辆来说,更容易受到网络攻击,在极端情况下甚至会受到恶意远程控制,所以,车辆安全的重要性也与日俱增。
现有技术中,主要是通过四层防御来提高车辆安全。第一层是电子控制单元(electronic control unit,ECU)层,可以对电子控制ECU采用安全烧录、安全启动、运行时意外监测、安全调试等安全机制,来提高车辆安全。第二层是车内安全通信层,可以对车内设备的通信信息进行加密处理,来提高车辆安全。第三层是电气架构层,可以部署网关,通过网关可以管理通信数据以及访问权限。第四层是车联网层,可以部署防火墙,车内设备与外部设备通信时经过防火墙。上述多层防御的方法每一层的功能不同,但是车内设备的安全等级是相同的,即对于安全等级要求较高的车内设备(例如:网关)以及安全等级要求较低的车内设备(例如:ECU),它们的安全等级是相同的。
发明内容
本申请实施例提供车载***安全保护方法及设备,可以根据网关、域控制器以及电子控制单元的安全等级的要求,在网关上部署第一安全保护模块,在域控制器上部署第二安全保护模块,在电子控制单元上部署第三安全保护模块,使得网关、域控制器以及电子控制单元的安全等级不同。
为达到上述目的,本申请的实施例采用如下技术方案:
第一方面,本申请实施例提供一种车载***,该车载***包括:网关、域控制器以及该域控制器对应的电子控制单元ECU,该网关与该域控制器连接,该域控制器与该ECU连接;该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级;该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级。
上述第一方面提供的技术方案,可以根据网关、域控制器以及电子控制单元的安全等级的要求,在网关上部署第一安全保护模块,在域控制器上部署第二安全保护模块,在电子控制单元上部署第三安全保护模块,使得网关、域控制器以及电子控制单元的安全等级不同。
结合第一方面,在第一种可能的实现方式中,第三安全等级大于或等于所述第二安全等级,所述第二安全等级大于所述第一安全等级。基于第一方面的第一种可能的实现方式,网关、域控制器以及电子控制单元的安全等级可以不同。
结合第一方面以及第一方面的第一种可能的实现方式,在第二种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第一方面的第二种可能的实现方式,因为DICE的安全等级小于TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级,TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第一安全等级小于第二安全等级,第二安全等级小于或等于第三安全等级。
第二方面,本申请实施例提供一种车载***安全保护方法,该方法包括:电子控制单元ECU通过第一安全保护模块生成该ECU的公钥和该ECU的私钥,其中,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该ECU用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息;该ECU向域控制器发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要;该域控制器接收来自该ECU的该第一签名信息、该ECU的公钥以及该ECU的固件摘要;该域控制器向网关发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要;该网关接收来自该域控制器的该第一签名信息、该ECU的公钥以及该ECU的固件摘要;该网关向服务器发送该第一签名信息、该EUC的公钥以及该ECU的固件摘要。
上述第二方面提供的技术方案,ECU可以将根据ECU的固件摘要得到的第一签名信息经过域控制器和网关发送给服务器,服务器可以通过ECU的公钥对第一签名信息进行验证,以保证ECU的固件不被篡改,从而提高车载***安全。
结合第二方面,在第一种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE。基于第二方面的第一种可能的实现方式,ECU的公钥和ECU的私钥是通过DICE生成的,DICE的复杂度和成本低,因此,在ECU上部署DICE来验证ECU的固件,可以降低成本。
结合第二方面以及第二方面的各种可能的实现方式,在第二种可能的实现方式中,该域控制器中存储有ECU的列表,该ECU为该列表中的ECU。基于第二方面的第二种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第二方面以及第二方面的各种可能的实现方式,在第三种可能的实现方式中,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的。基于第二方面的第三种可能的实现方式,ECU可以根据第一摘要函数对该ECU的固件进行计算得到ECU的固件摘要,再用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息,并将该第一签名经过域控制器和网关发送给服务器,以便服务器通过ECU的公钥对第一签名信息进行验证,以保证ECU的固件不被篡改,从而提高车载***安全。
结合第二方面以及第二方面的各种可能的实现方式,在第四种可能的实现方式中,该方法还包括:该服务器接收来自该网关的该第一签名信息、该EUC的公钥以及该ECU的固件摘要;该服务器用该ECU的公钥验证该第一签名信息;若该第一签名信息验证成功,该服务器向该网关发送第一响应信息,该第一响应信息用于指示启动该ECU;该网关接收来自该服务器的该第一响应信息;该网关向该域控制器发送该第一响应信息;该域控制器接收来自该网关的该第一响应信息;该域控制器向该ECU发送该第一响应信息;该ECU接收来自该域控制器的该第一响应信息。基于第二方面的第三种可能的实现方式,服务器对ECU的固件摘要验证成功后,可以通过网关和域控制器向ECU发送第一响应信息,ECU可以根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第三方面,本申请实施例提供一种车载***安全保护方法,该方法包括:电子控制单元ECU通过第一安全保护模块生成该ECU的公钥和该ECU的私钥,其中,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该ECU用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息;该ECU向域控制器发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要;该域控制器接收来自该ECU的该第一签名信息、该ECU的公钥以及该ECU的固件摘要;该域控制器通过第二安全保护模块生成该域控制器的公钥和该域控制器的私钥,其中,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级;该域控制器用该ECU的公钥验证该第一签名信息;若该第一签名信息验证成功,该域控制器用该域控制器的私钥对该ECU的固件摘要进行签名,得到第二签名信息;该域控制器向网关发送该第二签名信息、该域控制器的公钥以及该ECU的固件摘要;该网关接收来自该域控制器的该第二签名信息、该域控制器的公钥以及该ECU的固件摘要;该网关通过第三安全保护模块生成该网关的公钥和该网关的私钥,其中,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级;该网关用该域控制器的公钥验证该第二签名信息;若该第二签名信息验证成功,该网关用该网关的私钥对该ECU的固件摘要进行签名,得到第三签名信息;该网关向服务器发送该第三签名信息、该网关的公钥以及该ECU的固件摘要。
上述第三方面提供的技术方案,域控制器可以通过ECU的公钥对根据ECU的固件摘要得到的第一签名信息进行验证,在验证成功后,网关可以通过域控制器的公钥对根据ECU的固件摘要得到的第二签名信息进行验证,在验证成功后,服务器可以通过网关的公钥对根据ECU的固件摘要得到的第三签名信息进行验证,在验证成功后,服务器可以经过网关以及域控制器向ECU发送第一响应信息,因此,ECU的固件摘要可以经过三级验证,以保证ECU的固件不被篡改,从而提高车载***安全。
结合第三方面,在第一种可能的实现方式中,第三安全等级大于或等于所述第二安全等级,所述第二安全等级大于所述第一安全等级。基于第三方面的第一种可能的实现方式,网关、域控制器以及电子控制单元的安全等级可以不同。
结合第三方面以及第三方面的第一种可能的实现方式,在第二种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第三方面的第二种可能的实现方式,因为DICE的安全等级小于TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级,TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第一安全等级小于第二安全等级,第二安全等级小于或等于第三安全等级。而且,DICE的复杂度和成本低,因此,在ECU上部署DICE来验证ECU的固件,可以降低成本。
结合第三方面以及第三方面的各种可能的实现方式,在第三种可能的实现方式中,该域控制器中存储有ECU的列表,该ECU为该列表中的ECU。基于第三方面的第二种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第三方面以及第三方面的各种可能的实现方式,在第四种可能的实现方式中,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的。基于第三方面的第四种可能的实现方式,ECU可以根据第一摘要函数对该ECU的固件进行计算得到ECU的固件摘要,再用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息,并将该第一签名发送给域控制器,以便域控制器通过ECU的公钥对第一签名信息进行验证,以保证ECU的固件不被篡改,从而提高车载***安全。
结合第三方面以及第三方面的各种可能的实现方式,在第五种可能的实现方式中,该方法还包括:该服务器接收来自该网关的该第三签名信息、该网关的公钥以及该ECU的固件摘要;该服务器用该网关的公钥验证该第三签名信息;若该第三签名信息验证成功,该服务器向该网关发送第一响应信息,该第一响应信息用于指示启动该ECU;该网关接收来自该服务器的该第一响应信息;该网关向该域控制器发送该第一响应信息;该域控制器接收来自该网关的该第一响应信息;该域控制器向该ECU发送该第一响应信息;该ECU接收来自该域控制器的该第一响应信息。基于第三方面的第三种可能的实现方式,服务器对ECU的固件摘要验证成功后,可以通过网关和域控制器向ECU发送第一响应信息,ECU可以根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第四方面,本申请实施例提供一种车载***安全保护方法,该方法应用于电子控制单元ECU,该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级,该方法包括:通过该第一安全保护模块生成该ECU的公钥和该ECU的私钥;用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息;向域控制器发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要。
上述第四方面提供的技术方案,ECU可以将用ECU的私钥对ECU的固件摘要进行签名,得到的第一签名信息发送给域控制器,以便域控制器对第一签名信息进行验证,从而提高车载***安全。
结合第四方面,在第一种可能的实现方式中,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。基于第四方面的第一种可能的实现方式,域控制器可以通过在域控制器上部署第二安全保护模块,使得域控制器的安全等级与ECU不同。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片。基于第四方面的第二种可能的实现方式,因为DICE的安全等级小于TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级,所以第一安全等级小于第二安全等级。
结合第四方面以及第四方面的各种可能的实现方式,在第三种可能的实现方式中,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。基于第四方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第四方面以及第四方面的各种可能的实现方式,在第四种可能的实现方式中,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的。基于第四方面的第四种可能的实现方式,ECU可以根据第一摘要函数对该ECU的固件进行计算得到ECU的固件摘要,再用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息,并将该第一签名发送给域控制器,以便域控制器或服务器通过ECU的公钥对第一签名信息进行验证,以保证ECU的固件不被篡改,从而提高车载***安全。
结合第四方面以及第四方面的各种可能的实现方式,在第五种可能的实现方式中,该方法还包括:接收来自该域控制器的第一响应信息,该第一响应信息用于指示启动该ECU。基于第四方面的第五种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,ECU可以接收来自域控制器的第一响应信息,并根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第五方面,本申请实施例提供一种车载***安全保护方法,该方法应用于域控制器,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级,该方法包括:接收来自电子控制单元ECU的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;通过该第二安全保护模块生成该域控制器的公钥和该域控制器的私钥;用该ECU的公钥验证该第一签名信息;若该第一签名信息验证成功,用该域控制器的私钥对该ECU的固件摘要进行签名,得到第二签名信息;向网关发送该第二签名信息、该域控制器的公钥以及该ECU的固件摘要。
上述第五方面提供的技术方案,域控制器可以根据ECU的公钥验证第一签名信息,并在第一签名信息验证成功后,将用域控制器的私钥对ECU的固件摘要进行签名,得到的第二签名信息发送给网关,以便网关对第二签名信息进行验证,从而提高车载***安全。
结合第五方面,在第一种可能的实现方式中,该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级。基于第五方面的第一种可能的实现方式,可以通过在ECU上部署第一安全保护模块,在域控制器上部署第二安全保护模块,在网关上部署第三安全保护模块,以使得ECU、域控制器以及网关的安全等级不同。
结合第五方面的第一种可能的实现方式,在第二种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第五方面的第二种可能的实现方式,因为DICE的安全等级小于TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级,TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第一安全等级小于第二安全等级,第二安全等级小于或等于第三安全等级。
结合第五方面以及第五方面的各种可能的实现方式,在第三种可能的实现方式中,该域控制器中存储有ECU的列表,该ECU为该列表中的ECU。基于第五方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第五方面以及第五方面的各种可能的实现方式,在第四种可能的实现方式中,该方法还包括:接收来自该网关的第一响应信息,该第一响应信息用于指示启动该ECU;向该ECU发送该第一响应信息。基于第五方面的第四种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,域控制器可以接收来自网关的第一响应信息,以便域控制器将第一响应信息发送给ECU,ECU根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第六方面,本申请实施例提供一种车载***安全保护方法,该方法应用于网关,该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级,该方法包括:接收来自域控制器的第二签名信息、该域控制器的公钥以及该ECU的固件摘要,其中,该第二签名信息是用该域控制器的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;通过该第三安全保护模块生成该网关的公钥和该网关的私钥;用该域控制器的公钥验证该第二签名信息;若该第二签名信息验证成功,用该网关的私钥对该ECU的固件摘要进行签名,得到第三签名信息;向服务器发送该第三签名信息、该网关的公钥以及该ECU的固件摘要。
上述第六方面提供的技术方案,网关可以根据域控制器的公钥验证第二签名信息,并在第二签名信息验证成功后,将用网关的私钥对ECU的固件摘要进行签名,得到的第三签名信息发送给服务器,以便服务器对第三签名信息进行验证,从而提高车载***安全。
结合第六方面,在第一种可能的实现方式中,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。基于第六方面的第一种可能的实现方式,可以通过在域控制器上部署第二安全保护模块,在网关上部署第三安全保护模块,以使得网关和域控制器的安全等级不同。
结合第六方面的第一种可能的实现方式,在第二种可能的实现方式中,该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第六方面的第二种可能的实现方式,因为TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第二安全等级小于或等于第三安全等级。
结合第六方面以及第六方面的各种可能的实现方式,在第三种可能的实现方式中,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。基于第六方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第六方面以及第六方面的各种可能的实现方式,在第四种可能的实现方式中,该方法还包括:接收来自该服务器的第一响应信息,该第一响应信息用于指示启动该ECU;向该域控制器发送该第一响应信息。基于第六方面的第四种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,网关可以接收来自服务器的第一响应信息,以便网关通过域控制器将第一响应信息发送给ECU,ECU根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第七方面,本申请实施例提供一种车载***安全保护方法,该方法应用于域控制器,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级,该方法包括:接收来自电子控制单元ECU的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;向网关发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要。
上述第七方面提供的技术方案,域控制器可以将第一签名信息发送给网关,以便网关将第一签名信息发送给服务器,服务器对第一签名信息进行验证,从而提高车载***安全。
结合第七方面,在第一种可能的实现方式中,该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级。基于第七方面的第一种可能的实现方式,可以通过在ECU上部署第一安全保护模块,在域控制器上部署第二安全保护模块,在网关上部署第三安全保护模块,以使得ECU、域控制器以及网关的安全等级不同。
结合第七方面的第一种可能的实现方式,在第二种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第七方面的第二种可能的实现方式,因为DICE的安全等级小于TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级,TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第一安全等级小于第二安全等级,第二安全等级小于或等于第三安全等级。
结合第七方面以及第七方面的各种可能的实现方式,在第三种可能的实现方式中,该域控制器中存储有ECU的列表,该ECU为该列表中的ECU。基于第七方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第七方面以及第七方面的各种可能的实现方式,在第四种可能的实现方式中,该方法还包括:接收来自该网关的第一响应信息,该第一响应信息用于指示启动该ECU;向该ECU发送该第一响应信息。基于第七方面的第四种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,域控制器可以接收来自网关的第一响应信息,以便域控制器将第一响应信息发送给ECU,ECU根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第八方面,本申请实施例提供一种车载***安全保护方法,该方法应用于网关,该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级,该方法包括:接收来自域控制器的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;向服务器发送该第一签名信息、该EUC的公钥以及该ECU的固件摘要。
上述第八方面提供的技术方案,网关可以将第一签名信息发送给服务器,以便服务器对第一签名信息进行验证,从而提高车载***安全。
结合第八方面,在第一种可能的实现方式中,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。基于第八方面的第一种可能的实现方式,可以通过在域控制器上部署第二安全保护模块,在网关上部署第三安全保护模块,以使得网关和域控制器的安全等级不同。
结合第八方面的第一种可能的实现方式,在第二种可能的实现方式中,该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第八方面的第二种可能的实现方式,因为TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第二安全等级小于或等于第三安全等级。
结合第八方面以及第八方面的各种可能的实现方式,在第三种可能的实现方式中,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。基于第八方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第八方面以及第八方面的各种可能的实现方式,在第四种可能的实现方式中,该方法还包括:接收来自该服务器的第一响应信息,该第一响应信息用于指示启动该ECU;向该域控制器发送该第一响应信息。基于第八方面的第四种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,网关可以接收来自服务器的第一响应信息,以便网关通过域控制器将第一响应信息发送给ECU,ECU根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第九方面,本申请实施例提供了一种车载安全保护***,该车载安全保护***具有实现上述第二方面所述的方法和功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十方面,本申请实施例提供了一种车载安全保护***,该车载安全保护***具有实现上述第三方面所述的方法和功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十一方面,本申请实施例提供了一种电子控制单元ECU,该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级,该ECU包括:生成模块、签名模块以及发送模块;该生成模块,用于通过该第一安全保护模块生成该ECU的公钥和该ECU的私钥;该签名模块,用于用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息,其中,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;该发送模块,用于向域控制器发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要。
上述第十一方面提供的技术方案,ECU可以将用ECU的私钥对ECU的固件摘要进行签名,得到的第一签名信息发送给域控制器,以便域控制器对第一签名信息进行验证,从而提高车载***安全。
结合第十一方面,在第一种可能的实现方式中,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。基于第十一方面的第一种可能的实现方式,域控制器可以通过在域控制器上部署第二安全保护模块,使得域控制器的安全等级与ECU不同。
结合第十一方面的第一种可能的实现方式,在第二种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片。基于第十一方面的第二种可能的实现方式,因为DICE的安全等级小于TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级,所以第一安全等级小于第二安全等级。
结合第十一方面以及第十一方面的各种可能的实现方式,在第三种可能的实现方式中,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。基于第十一方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第十一方面以及第十一方面的各种可能的实现方式,在第四种可能的实现方式中,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的。基于第十一方面的第四种可能的实现方式,ECU可以根据第一摘要函数对该ECU的固件进行计算得到ECU的固件摘要,再用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息,并将该第一签名发送给域控制器,以便域控制器或服务器通过ECU的公钥对第一签名信息进行验证,以保证ECU的固件不被篡改,从而提高车载***安全。
结合第十一方面以及第十一方面的各种可能的实现方式,在第五种可能的实现方式中,该ECU还包括:接收模块;该接收模块,用于接收来自该域控制器的第一响应信息,该第一响应信息用于指示启动该ECU。基于第十一方面的第五种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,ECU可以接收来自域控制器的第一响应信息,并根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第十二方面,本申请实施例提供了一种域控制器,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级,该域控制器包括:接收模块、生成模块、验证模块、签名模块以及发送模块;该接收模块,用于接收来自电子控制单元ECU的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;该生成模块,用于通过该第二安全保护模块生成该域控制器的公钥和该域控制器的私钥;该验证模块,用于用该ECU的公钥验证该第一签名信息;该签名模块,用于若该第一签名信息验证成功,用该域控制器的私钥对该ECU的固件摘要进行签名,得到第二签名信息;该发送模块,用于向网关发送该第二签名信息、该域控制器的公钥以及该ECU的固件摘要。
上述第十二方面提供的技术方案,域控制器可以根据ECU的公钥验证第一签名信息,并在第一签名信息验证成功后,将用域控制器的私钥对ECU的固件摘要进行签名,得到的第二签名信息发送给网关,以便网关对第二签名信息进行验证,从而提高车载***安全。
结合第十二方面,在第一种可能的实现方式中,该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级。基于第十二方面的第一种可能的实现方式,可以通过在ECU上部署第一安全保护模块,在域控制器上部署第二安全保护模块,在网关上部署第三安全保护模块,以使得ECU、域控制器以及网关的安全等级不同。
结合第十二方面的第一种可能的实现方式,在第二种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第十二方面的第二种可能的实现方式,因为DICE的安全等级小于TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级,TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第一安全等级小于第二安全等级,第二安全等级小于或等于第三安全等级。
结合第十二方面以及第十二方面的各种可能的实现方式,在第三种可能的实现方式中,该域控制器中存储有ECU的列表,该ECU为该列表中的ECU。基于第十二方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第十二方面以及第十二方面的各种可能的实现方式,在第四种可能的实现方式中,该接收模块,还用于接收来自该网关的第一响应信息,该第一响应信息用于指示启动该ECU;该发送模块,还用于向该ECU发送该第一响应信息。基于第十二方面的第四种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,域控制器可以接收来自网关的第一响应信息,以便域控制器将第一响应信息发送给ECU,ECU根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第十三方面,本申请实施例提供了一种网关,该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级,该网关包括:接收模块、生成模块、验证模块、签名模块以及发送模块;该接收模块,用于接收来自域控制器的第二签名信息、该域控制器的公钥以及该ECU的固件摘要,其中,该第二签名信息是用该域控制器的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;该生成模块,用于通过该第三安全保护模块生成该网关的公钥和该网关的私钥;该验证模块,用于用该域控制器的公钥验证该第二签名信息;该签名模块,用于若该第二签名信息验证成功,用该网关的私钥对该ECU的固件摘要进行签名,得到第三签名信息;该发送模块,用于向服务器发送该第三签名信息、该网关的公钥以及该ECU的固件摘要。
上述第十三方面提供的技术方案,网关可以根据域控制器的公钥验证第二签名信息,并在第二签名信息验证成功后,将用网关的私钥对ECU的固件摘要进行签名,得到的第三签名信息发送给服务器,以便服务器对第三签名信息进行验证,从而提高车载***安全。
结合第十三方面,在第一种可能的实现方式中,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。基于第十三方面的第一种可能的实现方式,可以通过在域控制器上部署第二安全保护模块,在网关上部署第三安全保护模块,以使得网关和域控制器的安全等级不同。
结合第十三方面的第一种可能的实现方式,在第二种可能的实现方式中,该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第十三方面的第二种可能的实现方式,因为TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第二安全等级小于或等于第三安全等级。
结合第十三方面以及第十三方面的各种可能的实现方式,在第三种可能的实现方式中,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。基于第十三方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第十三方面以及第十三方面的各种可能的实现方式,在第四种可能的实现方式中,该接收模块,还用于接收来自该服务器的第一响应信息,该第一响应信息用于指示启动该ECU;该发送模块,还用于向该域控制器发送该第一响应信息。基于第十三方面的第四种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,网关可以接收来自服务器的第一响应信息,以便网关通过域控制器将第一响应信息发送给ECU,ECU根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第十四方面,本申请实施例提供了一种域控制器,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级,该域控制器包括:接收模块以及发送模块;该接收模块,用于接收来自电子控制单元ECU的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;该发送模块,用于向网关发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要。
上述第十四方面提供的技术方案,域控制器可以将第一签名信息发送给网关,以便网关将第一签名信息发送给服务器,服务器对第一签名信息进行验证,从而提高车载***安全。
结合第十四方面,在第一种可能的实现方式中,该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级。基于第十四方面的第一种可能的实现方式,可以通过在ECU上部署第一安全保护模块,在域控制器上部署第二安全保护模块,在网关上部署第三安全保护模块,以使得ECU、域控制器以及网关的安全等级不同。
结合第十四方面的第一种可能的实现方式,在第二种可能的实现方式中,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第十四方面的第二种可能的实现方式,因为DICE的安全等级小于TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级,TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第一安全等级小于第二安全等级,第二安全等级小于或等于第三安全等级。
结合第十四方面以及第十四方面的各种可能的实现方式,在第三种可能的实现方式中,该域控制器中存储有ECU的列表,该ECU为该列表中的ECU。基于第十四方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第十四方面以及第十四方面的各种可能的实现方式,在第四种可能的实现方式中,该接收模块,用于接收来自该网关的第一响应信息,该第一响应信息用于指示启动该ECU;该发送模块,用于向该ECU发送该第一响应信息。基于第十四方面的第四种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,域控制器可以接收来自网关的第一响应信息,以便域控制器将第一响应信息发送给ECU,ECU根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第十五方面,本申请实施例提供了一种网关,该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级,该网关包括:接收模块以及发送模块;该接收模块,用于接收来自域控制器的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;该发送模块,用于向服务器发送该第一签名信息、该EUC的公钥以及该ECU的固件摘要。
上述第十五方面提供的技术方案,网关可以将第一签名信息发送给服务器,以便服务器对第一签名信息进行验证,从而提高车载***安全。
结合第十五方面,在第一种可能的实现方式中,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。基于第十五方面的第一种可能的实现方式,可以通过在域控制器上部署第二安全保护模块,在网关上部署第三安全保护模块,以使得网关和域控制器的安全等级不同。
结合第十五方面的第一种可能的实现方式,在第二种可能的实现方式中,该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。基于第十五方面的第二种可能的实现方式,因为TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片的安全等级小于TPM-Rich的安全等级,所以第二安全等级小于或等于第三安全等级。
结合第十五方面以及第十五方面的各种可能的实现方式,在第三种可能的实现方式中,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。基于第十五方面的第三种可能的实现方式,域控制器可以根据存储的ECU列表,监控ECU列表中的ECU的固件摘要是否进行验证。
结合第十五方面以及第十五方面的各种可能的实现方式,在第四种可能的实现方式中,该接收模块,用于接收来自该服务器的第一响应信息,该第一响应信息用于指示启动该ECU;该发送模块,用于向该域控制器发送该第一响应信息。基于第十五方面的第四种可能的实现方式,若根据ECU的固件摘要得到的签名信息验证成功,网关可以接收来自服务器的第一响应信息,以便网关通过域控制器将第一响应信息发送给ECU,ECU根据第一响应信息启动,后续,服务器可以为ECU提供服务。
第十六方面,本申请实施例提供了一种电子控制单元ECU,包括:至少一个处理器、至少一个存储器以及通信接口,该通信接口、该至少一个存储器与该至少一个处理器耦合;ECU通过该通信接口与其他设备通信,该至少一个存储器用于存储计算机程序,使得该计算机程序被该至少一个处理器执行时实现如第四方面及其各种可能的实现方式所述的车载***安全保护方法。
第十七方面,本申请实施例提供了一种域控制器,包括:至少一个处理器、至少一个存储器以及通信接口,该通信接口、该至少一个存储器与该至少一个处理器耦合;域控制器通过该通信接口与其他设备通信,该至少一个存储器用于存储计算机程序,使得该计算机程序被该至少一个处理器执行时实现如第五方面及其各种可能的实现方式所述的车载***安全保护方法。
第十八方面,本申请实施例提供了一种网关,包括:至少一个处理器、至少一个存储器以及通信接口,该通信接口、该至少一个存储器与该至少一个处理器耦合;网关通过该通信接口与其他设备通信,该至少一个存储器用于存储计算机程序,使得该计算机程序被该至少一个处理器执行时实现如第六方面及其各种可能的实现方式所述的车载***安全保护方法。
第十九方面,本申请实施例提供了一种域控制器,包括:至少一个处理器、至少一个存储器以及通信接口,该通信接口、该至少一个存储器与该至少一个处理器耦合;域控制器通过该通信接口与其他设备通信,该至少一个存储器用于存储计算机程序,使得该计算机程序被该至少一个处理器执行时实现如第七方面及其各种可能的实现方式所述的车载***安全保护方法。
第二十方面,本申请实施例提供了一种网关,包括:至少一个处理器、至少一个存储器以及通信接口,该通信接口、该至少一个存储器与该至少一个处理器耦合;网关通过该通信接口与其他设备通信,该至少一个存储器用于存储计算机程序,使得该计算机程序被该至少一个处理器执行时实现如第八方面及其各种可能的实现方式所述的车载***安全保护方法。
第二十一方面,本申请提供了一种***芯片,该***芯片可以应用在电子控制单元ECU中,该***芯片包括:至少一个处理器,涉及的程序指令在该至少一个处理器中执行,以实现根据第四方面的方法及其任一设计中的ECU的功能。可选的,该***芯片还可以包括至少一个存储器,该存储器存储有涉及的程序指令。
第二十二方面,本申请提供了一种***芯片,该***芯片可以应用在域控制器中,该***芯片包括:至少一个处理器,涉及的程序指令在该至少一个处理器中执行,以实现根据第五方面的方法及其任一设计中的域控制器的功能。可选的,该***芯片还可以包括至少一个存储器,该存储器存储有涉及的程序指令。
第二十三方面,本申请提供了一种***芯片,该***芯片可以应用在网关中,该***芯片包括:至少一个处理器,涉及的程序指令在该至少一个处理器中执行,以实现根据第六方面的方法及其任一设计中的网关的功能。可选的,该***芯片还可以包括至少一个存储器,该存储器存储有涉及的程序指令。
第二十四方面,本申请提供了一种***芯片,该***芯片可以应用在域控制器中,该***芯片包括:至少一个处理器,涉及的程序指令在该至少一个处理器中执行,以实现根据第七方面的方法及其任一设计中的域控制器的功能。可选的,该***芯片还可以包括至少一个存储器,该存储器存储有涉及的程序指令。
第二十五方面,本申请提供了一种***芯片,该***芯片可以应用在网关中,该***芯片包括:至少一个处理器,涉及的程序指令在该至少一个处理器中执行,以实现根据第八方面的方法及其任一设计中的网关的功能。可选的,该***芯片还可以包括至少一个存储器,该存储器存储有涉及的程序指令。
第二十六方面,本申请实施例提供了一种计算机可读存储介质,如计算机非瞬态的可读存储介质。其上储存有计算机程序,当该计算机程序在计算机上运行时,使得计算机执行上述第二方面的任一种可能的方法。例如,该计算机可以是至少一个存储节点。
第二十七方面,本申请实施例提供了一种计算机可读存储介质,如计算机非瞬态的可读存储介质。其上储存有计算机程序,当该计算机程序在计算机上运行时,使得计算机执行上述第三方面的任一种可能的方法。例如,该计算机可以是至少一个存储节点。
第二十八方面,本申请实施例提供了一种计算机可读存储介质,如计算机非瞬态的可读存储介质。其上储存有计算机程序,当该计算机程序在计算机上运行时,使得计算机执行上述第四方面的任一种可能的方法。例如,该计算机可以是至少一个存储节点。
第二十九方面,本申请实施例提供了一种计算机可读存储介质,如计算机非瞬态的可读存储介质。其上储存有计算机程序,当该计算机程序在计算机上运行时,使得计算机执行上述第五方面的任一种可能的方法。例如,该计算机可以是至少一个存储节点。
第三十方面,本申请实施例提供了一种计算机可读存储介质,如计算机非瞬态的可读存储介质。其上储存有计算机程序,当该计算机程序在计算机上运行时,使得计算机执行上述第六方面的任一种可能的方法。例如,该计算机可以是至少一个存储节点。
第三十一方面,本申请实施例提供了一种计算机可读存储介质,如计算机非瞬态的可读存储介质。其上储存有计算机程序,当该计算机程序在计算机上运行时,使得计算机执行上述第七方面的任一种可能的方法。例如,该计算机可以是至少一个存储节点。
第三十二方面,本申请实施例提供了一种计算机可读存储介质,如计算机非瞬态的可读存储介质。其上储存有计算机程序,当该计算机程序在计算机上运行时,使得计算机执行上述第八方面的任一种可能的方法。例如,该计算机可以是至少一个存储节点。
第三十三方面,本申请实施例提供了一种计算机程序产品,当其在计算机上运行时,使得第二方面提供的任一方法被执行。例如,该计算机可以是至少一个存储节点。
第三十四方面,本申请实施例提供了一种计算机程序产品,当其在计算机上运行时,使得第三方面提供的任一方法被执行。例如,该计算机可以是至少一个存储节点。
第三十五方面,本申请实施例提供了一种计算机程序产品,当其在计算机上运行时,使得第四方面提供的任一方法被执行。例如,该计算机可以是至少一个存储节点。
第三十六方面,本申请实施例提供了一种计算机程序产品,当其在计算机上运行时,使得第五方面提供的任一方法被执行。例如,该计算机可以是至少一个存储节点。
第三十七方面,本申请实施例提供了一种计算机程序产品,当其在计算机上运行时,使得第六方面提供的任一方法被执行。例如,该计算机可以是至少一个存储节点。
第三十八方面,本申请实施例提供了一种计算机程序产品,当其在计算机上运行时,使得第七方面提供的任一方法被执行。例如,该计算机可以是至少一个存储节点。
第三十九方面,本申请实施例提供了一种计算机程序产品,当其在计算机上运行时,使得第八方面提供的任一方法被执行。例如,该计算机可以是至少一个存储节点。
第四十方面,本申请实施例提供一种车载安全保护***,该车载安全保护***可以包括如下任一种或几种:如第四方面中的ECU,或者如第五方面中的域控制器,或者如第六方面中的网关,或者如第七方面中的域控制器,或者如第八方面中的网关,或者如第十一方面中的ECU,或者如第十二方面中的域控制器,或者如第十三方面中的网关,或者如第十四方面中的域控制器,或者如第十五方面中的网关,或者如第十六方面中的ECU,或者如第十七方面中的域控制器,或者如第十八方面中的网关,或者如第十九方面中的域控制器,或者如第二十方面中的网关,或者如第二十一方面中的***芯片,或者如第二十二方面中的***芯片,或者如第二十三方面中的***芯片,或者如第二十四方面中的***芯片,或者如第二十五方面中的***芯片,或者如第二十六方面中的计算机可读存储介质,或者如第二十七方面中的计算机可读存储介质,或者如第二十八方面中的计算机可读存储介质,或者如第二十九方面中的计算机可读存储介质,或者如第三十方面中的计算机可读存储介质,或者如第三十一方面中的计算机可读存储介质,或者如第三十二方面中的计算机可读存储介质,或者如第三十三方面中的计算机程序产品,或者如第三十四方面中的计算机程序产品,或者如第三十五方面中的计算机程序产品,或者如第三十六方面中的计算机程序产品,或者如第三十七方面中的计算机程序产品,或者如第三十八方面中的计算机程序产品,或者如第三十九方面中的计算机程序产品。
可以理解的,上述提供的任一种车载***、车载安全保护***、ECU、域控制器、网关、***芯片、计算机存储介质或计算机程序产品等均用于执行上文所提供的对应的方法,因此,其所能达到的有益效果可参考对应的方法中的有益效果,此处不再赘述。
附图说明
图1(a)为本申请实施例提供的车载安全保护***架构示意图;
图1(b)为本申请实施例提供的车载***架构示意图;
图2为本申请实施例提供的硬件设备的硬件结构示意图;
图3为本申请实施例提供的车载***安全保护方法的流程示意图一;
图4为本申请实施例提供的车载***安全保护方法的流程示意图二;
图5为本申请实施例提供的车载***的结构示意图;
图6为本申请实施例提供的ECU的结构示意图一;
图7为本申请实施例提供的ECU的结构示意图二;
图8为本申请实施例提供的域控制器器的结构示意图一;
图9为本申请实施例提供的网关的结构示意图一;
图10为本申请实施例提供的域控制器器的结构示意图二;
图11为本申请实施例提供的网关的结构示意图二。
具体实施方式
下面结合附图对本申请实施例的实施方式进行详细描述。
如图1(a)所示,为本申请实施例提供的车载安全保护***100的架构示意图。图1(a)中,车载安全保护***100可以包括车载***10和服务器20。
图1(a)中的车载***10可以是车辆30的车载***,车载***10可以包括多个设备。例如,车载***10可以包括车载T-Box(Telematics BOX)、网关、车载信息娱乐***(in-vehicle infotainment,IVI)、整车控制器(vehicle control unit,VCU)、高级驾驶辅助***(advanced driving assistance system,ADAS)等设备。具体的,车载***10的架构可以如图1(b)所示。
图1(b)为本申请实施例提供的一种车载***10的架构示意图,如图1(b)所示,车载***10包括T-Box 101、网关102、IVI 103、VCU 104、ADAS 105以及ECU 106-ECU 110。其中,IVI 103、VCU 104以及ADAS 105可以统称为域控制器。ECU 106-ECU 107是IVI 103对应的ECU,ECU 108是VCU 104对应的ECU,ECU 109-ECU 110是ADAS 105对应的ECU。
其中,T-Box 101和网关102之间可以通过以太网连接。网关102和域控制器之间可以通过以太网或者控制器局域网络(controller area network,CAN)连接,例如,网关102与IVI 103之间可以通过以太网或者CAN连接。域控制器和ECU之间可以通过以太网或者CAN连接,例如,VCU 104与ECU 108之间可以通过以太网或者CAN连接,ADAS 105与ECU109之间可以通过以太网或者CAN连接。
图1(b)中的T-Box 101和域控制器(例如:IVI 103、VCU 104或ADAS 105)上可以部署有第二安全保护模块,第二安全保护模块可以用于向T-Box 101或域控制器提供安全保护。第二安全保护模块的安全等级为第二安全等级,第二安全保护模块包括稀可信平台模块(trusted platform module-thin,TPM-Thin)、或者嵌入式安全元件(embedded secureelement,eSE)、或者包括物理隔离的安全处理器(security processor,SP)***的芯片、或者包括物理隔离的硬件安全模块(hardware security module,HSM)芯片。
图1(b)中的网关102上可以部署有第三安全保护模块,第三安全保护模块可以用于向网关102提供安全保护,第三安全保护模块的安全等级为第三安全等级,第三安全保护模块包括富可信平台模块(trusted platform module-rich,TPM-Rich)、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片。
图1(b)中的ECU 106-ECU 110上可以部署有第一安全保护模块,第一安全保护模块可以用于向ECU 106-ECU 110提供安全保护,第一安全保护模块的安全等级为第一安全等级,第一安全保护模块包括设备标识组合引擎(device identifier compositionengine,DICE)。
本领域技术人员公知,软件的安全等级低于硬件的安全等级,TPM-Thin的安全等级又小于TPM-Rich的安全等级,因此,第一安全等级小于第二安全等级,第二安全等级小于或等于第三安全等级。
需要说明的是,上述第一安全保护模块、第二安全保护模块与第三安全保护模块的部署方式仅是示例性的,本领域技术人员应该理解,在具体实现过程中,可以根据需要在车载***中的设备(例如,网关、T-Box、域控制器以及ECU)上部署相应的安全保护模块。例如,需要提高VCU 104的安全等级,可以在VCU 104上部署第三安全保护模块;需要提高ECU106的安全等级,可以在ECU 106上部署第二安全保护模块;不需要对ECU 107进行安全保护,可以不在ECU 107上部署安全保护模块。
图1(b)中的T-Box 101可以具备与车载***10的外部设备以及车载***10的内部设备通信的能力。其中,车载***10的外部设备可以描述为车载***10之外的设备,例如,图1(a)中的服务器20;车载***10的内部设备可以是图1(b)中所示的设备,例如,网关102、IVI 103、ECU 106等等。
图1(b)中的T-Box 101与车载***10的内部设备通信,可以用于接收车载***10的内部设备的信息(例如,ECU 106的固件摘要);T-Box 101与车载***10的内部设备通信,还可以用于将接收到的车载***10的外部设备发送的信息转发(或透传)给车载***10的内部设备(例如,将服务器20发送的第一响应信息转发(或透传)给网关102)。T-Box 101 与车载***10的外部设备通信,可以用于对车载***10的内部设备进行认证(例如,T-Box101向服务器20发送第一签名信息、ECU的公钥以及ECU的固件摘要,并在服务器20验证第一签名信息后接收服务器20发送的第一响应信息)。
图1(b)中的网关102可以具备验证ECU固件的能力。例如,网关102接收来自VCU104的第二签名信息、VCU 104的公钥以及的ECU 108的固件摘要,其中,第二签名信息是用第三摘要函数对ECU 108的固件摘要进行计算,并将计算后的摘要用VCU 104的私钥进行加密得到的,网关102可以用VCU 104的公钥对第二签名信息进行解密,用第三摘要函数对ECU108的固件摘要进行计算,并验证解密后的第二签名信息与用第三摘要函数对ECU 108的固件摘要进行计算后的摘要是否一致。
图1(b)中的网关102还可以具备对ECU固件摘要进行签名的能力。例如,网关102验证解密后的第二签名信息与用第三摘要函数对ECU 108的固件摘要进行计算后的摘要一致,网关102可以用第四摘要函数对ECU 108的固件摘要进行计算,并将计算后的摘要用网关102的私钥进行加密。
图1(b)中的域控制器可以具备验证ECU固件的能力。例如,IVI 103接收来自ECU106的第一签名信息、ECU 106的公钥以及的ECU 106的固件摘要,其中,第一签名信息是用第二摘要函数对ECU 106的固件摘要进行计算,并将计算后的摘要用ECU 106的私钥进行加密得到的,IVI 103可以用ECU 106的公钥对第一签名信息进行解密,用第二摘要函数对ECU106的固件摘要进行计算,并验证解密后的第一签名信息与用第二摘要函数对ECU 106的固件摘要进行计算后的摘要是否一致。
图1(b)中的域控制器还可以具备对ECU固件摘要进行签名的能力。例如,IVI 103验证解密后的第一签名信息与用第二摘要函数对ECU 106的固件摘要进行计算后的摘要是一致,IVI 103可以用第三摘要函数对ECU 106的固件摘要进行计算,并将计算后的摘要用IVI 103的私钥进行加密。
图1(b)中的ECU可以具备对ECU固件摘要进行签名的能力。例如,ECU 106可以用第二摘要函数对ECU 106的固件摘要进行计算,并将计算后的摘要用IVI 103的私钥进行加密。
应理解,图1(b)所示的车载***10的架构仅用于举例,并非用于限制本申请的技术方案。本领域的技术人员应当明白,在具体实现过程中,车载***10还可以包括其他设备,例如,车载诊断***(on-board diagnostic,OBD),同时也可根据具体需要来确定网关、域控制器以及ECU的数量。
图1(a)中的服务器20可以具备验证ECU固件的能力。例如,服务器20接收来自网关102的第一签名信息、ECU 106的公钥以及的ECU 106的固件摘要,其中,第一签名信息是用第二摘要函数对ECU 106的固件摘要进行计算,并将计算后的摘要用ECU 106的私钥进行加密得到的,服务器20可以用ECU 106的公钥对第一签名信息进行解密,用第二摘要函数对ECU 106的固件摘要进行计算,并验证解密后的第一签名信息与用第二摘要函数对ECU 106的固件摘要进行计算后的摘要是否一致。
图1(a)中的服务器20还可以具备为车载***10中的设备提供服务的能力。例如,若ECU 106用于导航,服务器20在验证解密后的第一签名信息与用第二摘要函数对ECU 106的固件摘要进行计算后的摘要一致后,可以为ECU 106提供导航服务。
应理解,图1(a)所示的车载安全保护***100仅用于举例,并非用于限制本申请的技术方案。本领域的技术人员应当明白,在具体实现过程中,车载安全保护***100还可以包括其他设备,同时也可根据具体需要来确定服务器20和车载***10的数量,不予限制。
可选的,本申请实施例图1(b)中的各设备,例如,网关102、IVI 103或ECU 108,可以是一个设备内的一个功能模块。可以理解的是,该功能模块既可以是硬件设备中的元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
例如,图1(b)中的各设备均可以通过图2中的硬件设备200来实现。图2所示为可适用于本申请实施例的硬件设备的硬件结构示意图。该硬件设备200可以包括至少一个处理器201,通信线路202,存储器203以及至少一个通信接口204。
处理器201可以是一个通用CPU,微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路202可包括一通路,在上述组件之间传送信息,例如总线。
通信接口204,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网接口,无线接入网接口(radio access network,RAN),无线局域网接口(wirelesslocal area networks,WLAN)等。
存储器203可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路202与处理器相连接。存储器也可以和处理器集成在一起。本申请实施例提供的存储器通常可以具有非易失性。其中,存储器203用于存储执行本申请方案所涉及的计算机执行指令,并由处理器201来控制执行。处理器201用于执行存储器203中存储的计算机执行指令,从而实现本申请实施例提供的方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器201可以包括一个或多个CPU,例如图2中的CPU0和CPU1。
在具体实现中,作为一种实施例,硬件设备200可以包括多个处理器,例如图2中的处理器201和处理器207。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,硬件设备200还可以包括输出设备205和输入设备206。输出设备205和处理器201通信,可以以多种方式来显示信息。例如,输出设备205可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备206和处理器201通信,可以以多种方式接收用户的输入。例如,输入设备206可以是鼠标、键盘、触摸屏设备或传感设备等。
在具体实现中,硬件设备200可以是嵌入式设备或有图2中类似结构的设备。本申请实施例不限定硬件设备200的类型。
下面将结合图1(a)、图1(b)和图2对本申请实施例提供的车载***安全保护方法进行具体阐述。
如图3所示,为本申请实施例提供的一种车载***安全保护方法,该车载***安全保护方法包括步骤301-步骤321。
步骤301:ECU通过第一安全保护模块生成ECU的公钥和ECU的私钥。
其中,该ECU可以是图1(b)中的ECU 106-ECU 110。
其中,ECU上可以部署有第一安全保护模块,第一安全保护模块可以包括DICE,第一安全保护模块可以用于向ECU提供安全保护,第一安全保护模块的安全等级为第一安全等级。
一种可能的实现方式,车辆启动时,ECU通过第一安全保护模块生成ECU的公钥和ECU的私钥。
一种可能的实现方式,ECU通过第一安全保护模块生成ECU的公钥和ECU的私钥,包括:ECU上部署的第一安全保护模块根据ECU的唯一设备密钥(unique device secret,UDS)生成ECU的公钥和ECU的私钥。其中,ECU的唯一设备密钥是制造商为每个ECU分配的密钥。
步骤302:ECU用ECU的私钥对ECU的固件摘要进行签名,得到第一签名信息。
其中,ECU的固件可以描述为ECU的静态代码。
其中,ECU的固件摘要可以是根据第一摘要函数对ECU的固件进行计算得到的。
一种可能的实现方式,ECU用ECU的私钥对ECU的固件摘要进行签名,得到第一签名信息,包括:ECU用第二摘要函数对ECU的固件摘要进行计算,再将计算后的摘要用ECU的私钥进行加密,得到第一签名信息。
其中,第一摘要函数和第二摘要函数可以相同也可以不同。
步骤303:ECU向域控制器发送第一签名信息,ECU的公钥以及ECU的固件摘要。
其中,域控制器为通过以太网或者CAN与ECU连接的域控制器。例如,若ECU为图1(b)中的ECU 106或ECU 107,则域控制器可以为图1(b)中的IVI 103,若ECU为图1(b)中的ECU 108,则域控制器可以为图1(b)中的VCU 104,若ECU为图1(b)中的ECU 109或ECU 110,则域控制器可以为图1(b)中的ADAS 105。
可选的,域控制器中存储有ECU的列表,该ECU为该列表中的ECU,该ECU列表中的ECU执行本申请实施例提供的车载***安全保护方法,该ECU与域控制器连接。
在实际应用过程中,因为ECU列表中的ECU要执行本申请实施例提供的车载***安全保护方法,因此ECU列表中的ECU都向域控制器发送第一签名信息、该ECU的公钥以及该ECU的固件摘要。
一种可能的实现方式,车辆启动后的预设时间内,若域控制器未接收到来自ECU列表中的ECU的第一签名信息,ECU的公钥以及ECU的固件摘要,域控制器向该ECU发送第一指示信息,所述第一指示信息用于指示该ECU执行本申请实施例提供的车载***安全保护方法。
示例性的,以预设时间为2秒,图1(b)中的IVI 103中存储有ECU列表,该ECU列表包括ECU 106为例,车辆启动后的2秒内,IVI 103未接收到来自ECU 106的第一签名信息,ECU106的公钥以及ECU 106的固件摘要,IVI 103向ECU 106发送第一指示信息,该第一指示信息用于指示ECU 106执行本申请实施例提供的车载***安全保护方法。
另一种可能的实现方式,车辆启动后的预设时间内,若域控制器未接收到来自ECU列表中的ECU的第一签名信息,ECU的公钥以及ECU的固件摘要,域控制器经网关向服务器发送第二指示信息,第二指示信息指示不为该ECU提供服务。
示例性的,以预设时间为2秒,图1(b)中的IVI 103中存储有ECU列表,该ECU列表包括ECU 106为例,车辆启动后的2秒内,IVI 103未接收到来自ECU 106的第一签名信息,ECU106的公钥以及ECU 106的固件摘要,IVI 103向网关102发送第二指示信息,网关102接收到第二指示信息后,将第二指示信息转发(或透传)给服务器20,该第二指示信息用于指示不为ECU 106提供服务。
步骤304:域控制器接收来自ECU的第一签名信息、ECU的公钥以及ECU的固件摘要。
步骤305:域控制器通过第二安全保护模块生成域控制器的公钥和域控制器的私钥。
其中,域控制器上可以部署有第二安全保护模块,第二安全保护模块可以包括TPM-Thin、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片。第二安全保护模块可以用于向域控制器提供安全保护,第二安全保护模块的安全等级为第二安全等级。
可选的,第一安全等级小于第二安全等级。
一种可能的实现方式,车辆启动时,域控制器通过第二安全保护模块生成域控制器的公钥和域控制器的私钥。
另一种可能的实现方式,域控制器接收来自ECU的到第一签名信息、ECU的公钥以及ECU的固件摘要后,通过第二安全保护模块生成域控制器的公钥和域控制器的私钥。
再一种可能的实现方式,域控制器在第一签名信息验证成功后(即步骤306后),通过第二安全保护模块生成域控制器的公钥和域控制器的私钥。
一种可能的实现方式,域控制器通过第二安全保护模块生成域控制器的公钥和域控制器的私钥,包括:域控制器上部署的第二安全保护模块根据域控制器的唯一设备密钥生成域控制器的公钥和域控制器的私钥。其中,域控制器的唯一设备密钥是制造商为每个域控制器分配的密钥。
步骤306:域控制器用ECU的公钥验证第一签名信息。
一种可能的实现方式,域控制器用ECU的公钥验证第一签名信息,包括:域控制器用ECU的公钥解密第一签名信息,并用第二摘要函数对ECU的固件摘要进行计算,再验证解密后的第一签名信息,与用第二摘要函数对ECU的固件摘要进行计算得到的摘要是否一致。若解密后的第一签名信息,与用第二摘要函数对ECU的固件摘要进行计算得到的摘要一致,则第一签名信息验证成功,若解密后的第一签名信息,与用第二摘要函数对ECU的固件摘要进行计算得到的摘要不一致,则第一签名信息验证失败。
一种可能的实现方式,若第一签名信息验证失败,域控制器向ECU发送第一验证失败消息,该第一验证失败消息用于指示第一签名信息验证失败。
一种可能的实现方式,若第一签名信息验证成功,域控制器用域控制器的私钥对ECU的固件摘要进行签名,得到第二签名信息,以便网关验证第二签名信息。
步骤307:若第一签名信息验证成功,域控制器用域控制器的私钥对ECU的固件摘要进行签名,得到第二签名信息。
一种可能的实现方式,域控制器用域控制器的私钥对ECU的固件摘要进行签名,得到第二签名信息,包括:域控制器用第三摘要函数对ECU的固件摘要进行计算,再将计算后的摘要用域控制器的私钥进行加密,得到第二签名信息。
其中,第一摘要函数、第二摘要函数以及第三摘要函数可以相同也可以不同。
步骤308:域控制器向网关发送第二签名信息、域控制器的公钥以及ECU的固件摘要。
其中,网关可以是图1(b)中的网关102。
步骤309:网关接收来自域控制器的第二签名信息、域控制器的公钥以及ECU的固件摘要。
步骤310:网关通过第三安全保护模块生成网关的公钥和网关的私钥。
其中,网关上可以部署有第三安全保护模块,第三安全保护模块可以包括TPM-Rich、或者eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的HSM芯片,第三安全保护模块可以用于向网关提供安全保护,第三安全保护模块的安全等级为第三安全等级。
可选的,第三安全等级大于或等于第二安全等级,第二安全等级大于第一安全等级。
一种可能的实现方式,车辆启动时,网关通过第三安全保护模块生成网关的公钥和网关的私钥。
另一种可能的实现方式,网关接收来自域控制器的到第二签名信息、域控制器的公钥以及ECU的固件摘要后,通过第三安全保护模块生成网关的公钥和网关的私钥。
再一种可能的实现方式,网关在第二签名信息验证成功后(即步骤311后),通过第三安全保护模块生成网关的公钥和网关的私钥。
一种可能的实现方式,网关通过第三安全保护模块生成网关的公钥和网关的私钥,包括:网关上部署的第三安全保护模块根据网关的唯一设备密钥生成网关的公钥和网关的私钥。其中,网关的唯一设备密钥是制造商为每个网关分配的密钥。
步骤311:网关用域控制器的公钥验证第二签名信息。
一种可能的实现方式,网关用域控制器的公钥验证第二签名信息,包括:网关用域控制器的公钥解密第二签名信息,并用第三摘要函数对ECU的固件摘要进行计算,再验证解密后的第二签名信息,与用第三摘要函数对ECU的固件摘要进行计算得到的摘要是否一致。若解密后的第二签名信息,与用第三摘要函数对ECU的固件摘要进行计算得到的摘要一致,则第二签名信息验证成功,若解密后的第二签名信息,与用第三摘要函数对ECU的固件摘要进行计算得到的摘要不一致,则第二签名信息验证失败。
一种可能的实现方式,若第二签名信息验证失败,网关向域控制器发送第二验证失败消息,域控制器接收到该第二验证失败消息后,将该第二验证失败消息转发(或透传)给ECU,其中,该第二验证失败消息用于指示第二签名信息验证失败。
一种可能的实现方式,若第二签名信息验证成功,网关用网关的私钥对ECU的固件摘要进行签名,得到第三签名信息,以便服务器验证第三签名信息。
步骤312:若第二签名信息验证成功,网关用网关的私钥对ECU的固件摘要进行签名,得到第三签名信息。
一种可能的实现方式,网关用网关的私钥对ECU的固件摘要进行签名,得到第三签名信息,包括:网关用第四摘要函数对ECU的固件摘要进行计算,再将计算后的摘要用网关的私钥进行加密,得到第三签名信息。
其中,第一摘要函数、第二摘要函数、第三摘要函数以及第四摘要函数可以相同也可以不同。
步骤313:网关向服务器发送第三签名信息、网关的公钥以及ECU的固件摘要。
其中,服务器可以是图1(a)中的服务器20。
一种可能的实现方式,网关向服务器发送第三签名信息、网关的公钥以及ECU的固件摘要,包括:网关向T-Box发送第三签名信息、网关的公钥以及ECU的固件摘要,T-Box接收到第三签名信息、网关的公钥以及ECU的固件摘要后,将第三签名信息、网关的公钥以及ECU的固件摘要转发(或透传)给服务器。
其中,T-Box可以是图1(b)中的T-Box 101。
步骤314:服务器接收来自网关的第三签名信息、网关的公钥以及ECU的固件摘要。
步骤315:服务器用网关的公钥验证第三签名信息。
可选的,服务器用网关的公钥验证第三签名信息,包括:服务器用网关的公钥解密第三签名信息,并用第四摘要函数对ECU的固件摘要进行计算,再验证解密后的第三签名信息,与用第四摘要函数对ECU的固件摘要进行计算得到的摘要是否一致。若解密后的第三签名信息,与用第四摘要函数对ECU的固件摘要进行计算得到的摘要一致,则第三签名信息验证成功,若解密后的第三签名信息,与用第四摘要函数对ECU的固件摘要进行计算得到的摘要不一致,则第三签名信息验证失败。
一种可能的实现方式,若第三签名信息验证成功,服务器向网关发送第一响应信息,该第一响应信息用于指示启动ECU,以便网关将第一响应信息转发给ECU,ECU根据第一响应信息启动,服务器为ECU提供服务;若第三签名信息验证失败,服务器向网关发送第二响应信息,该第二响应信息用于指示禁止启动ECU,以便网关将第二响应信息转发给ECU,ECU根据第二响应信息禁止启动。
另一种可能的实现方式,若第三签名信息验证成功,服务器向网关发送第一响应信息,该第一响应信息用于指示启动ECU,以便网关将第一响应信息转发给ECU,ECU根据第一响应信息启动,服务器为ECU提供服务;若第三签名信息验证失败,服务器不向网关发送响应信息,ECU在预设时间内未收到响应信息,则ECU禁止启动。
需要说明的是,第三签名信息验证成功或者失败,服务器可以不向网关发送响应信息。具体的,若第三签名信息验证成功,服务器为该ECU提供服务,若第三签名信息验证失败,服务器不为该ECU提供服务。
步骤316:若第三签名信息验证成功,服务器向网关发送第一响应信息。
一种可能的实现方式,服务器向网关发送第一响应信息,包括:服务器向T-Box发送第一响应信息,T-Box接收到第一响应信息后,将第一响应信息转发(或者透传)给网关。
步骤317:网关接收来自服务器的第一响应信息。
步骤318:网关向域控制器发送第一响应信息。
步骤319:域控制器接收来自网关的第一响应信息。
步骤320:域控制器向ECU发送第一响应信息。
步骤321:ECU接收来自域控制器的第一响应信息。
基于图3所示的方法,域控制器可以通过ECU的公钥对根据ECU的固件摘要得到的第一签名信息进行验证,在验证成功后,网关可以通过域控制器的公钥对根据ECU的固件摘要得到的第二签名信息进行验证,在验证成功后,服务器可以通过网关的公钥对根据ECU的固件摘要得到的第三签名信息进行验证,在验证成功后,服务器可以经过网关以及域控制器向ECU发送第一响应信息,因此,ECU的固件摘要可以经过三级验证,以保证ECU的固件不被篡改,从而提高车载***安全。另外,ECU的公钥和ECU的私钥是通过DICE生成的,DICE的复杂度和成本低,因此,在ECU上部署DICE来验证ECU的固件,可以降低成本。
图3所示的方法中,ECU的固件摘要的签名信息在域控制器和网关验证成功后,服务器进行验证的,ECU也可以直接把ECU的固件摘要的签名信息发送给服务器进行验证。
如图4所示,为本申请实施例提供的又一种车载***安全保护方法,该车载***安全保护方法包括步骤401-步骤415。
步骤401:ECU通过第一安全保护模块生成ECU的公钥和ECU的私钥。
步骤402:ECU用ECU的私钥对ECU的固件摘要进行签名,得到第一签名信息。
步骤403:ECU向域控制器发送第一签名信息,ECU的公钥以及ECU的固件摘要。
其中,步骤401-步骤403的具体过程可以参考上述图3所示方法中步骤301-步骤303的描述,此处不再赘述。
步骤404:域控制器接收来自ECU的第一签名信息、ECU的公钥以及ECU的固件摘要。
步骤405:域控制器向网关发送第一签名信息、ECU的公钥以及ECU的固件摘要。
其中,网关可以是图1(b)中的网关102。
步骤406:网关接收来自域控制器的第一签名信息、ECU的公钥以及ECU的固件摘要。
步骤407:网关向服务器发送第一签名信息、ECU的公钥以及ECU的固件摘要。
其中,服务器可以是图1(a)中的服务器20。
一种可能的实现方式,网关向服务器发送第一签名信息、ECU的公钥以及ECU的固件摘要,包括:网关向T-Box发送第一签名信息、ECU的公钥以及ECU的固件摘要,T-Box接收到第一签名信息、ECU的公钥以及ECU的固件摘要后,将第一签名信息、ECU的公钥以及ECU的固件摘要转发(或透传)给服务器。
其中,T-Box可以是图1(b)中的T-Box 101。
步骤408:服务器接收来自网关的第一签名信息、ECU的公钥以及ECU的固件摘要。
步骤409:服务器用ECU的公钥验证第一签名信息。
可选的,服务器用ECU的公钥验证第一签名信息,包括:服务器用ECU的公钥解密第一签名信息,并用第二摘要函数对ECU的固件摘要进行计算,再验证解密后的第一签名信息,与用第二摘要函数对ECU的固件摘要进行计算得到的摘要是否一致。若解密后的第一签名信息,与用第二摘要函数对ECU的固件摘要进行计算得到的摘要一致,则第一签名信息验证成功,若解密后的第一签名信息,与用第二摘要函数对ECU的固件摘要进行计算得到的摘要不一致,则第一签名信息验证失败。
一种可能的实现方式,若第一签名信息验证成功,服务器向网关发送第一响应信息,该第一响应信息用于指示启动ECU,以便网关将第一响应信息转发给ECU,ECU根据第一响应信息启动,服务器为ECU提供服务;若第一签名信息验证失败,服务器向网关发送第二响应信息,该第二响应信息用于指示禁止启动ECU,以便网关将第二响应信息转发给ECU,ECU根据第二响应信息禁止启动。
另一种可能的实现方式,若第一签名信息验证成功,服务器向网关发送第一响应信息,该第一响应信息用于指示启动ECU,以便网关将第一响应信息转发给ECU,ECU根据第一响应信息启动,服务器为ECU提供服务;若第一签名信息验证失败,服务器不向网关发送响应信息,ECU在预设时间内未收到响应信息,则ECU禁止启动。
需要说明的是,第一签名信息验证成功或者失败,服务器可以不向网关发送响应信息。具体的,若第一签名信息验证成功,服务器为该ECU提供服务,若第一签名信息验证失败,服务器不为该ECU提供服务。
步骤410:若第一签名信息验证成功,服务器向网关发送第一响应信息。
一种可能的实现方式,服务器向网关发送第一响应信息,包括:服务器向T-Box发送第一响应信息,T-Box接收到第一响应信息后,将第一响应信息转发(或者透传)给网关。
步骤411:网关接收来自服务器的第一响应信息。
步骤412:网关向域控制器发送第一响应信息。
步骤413:域控制器接收来自网关的第一响应信息。
步骤414:域控制器向ECU发送第一响应信息。
步骤415:ECU接收来自域控制器的第一响应信息。
基于图4所示的方法,ECU可以将根据ECU的固件摘要得到的第一签名信息经过域控制器和网关发送给服务器,服务器可以通过ECU的公钥对第一签名信息进行验证,以保证ECU的固件不被篡改,从而提高车载***安全。另外,ECU的公钥和ECU的私钥是通过DICE生成的,DICE的复杂度和成本低,因此,在ECU上部署DICE来验证ECU的固件,可以降低成本。
上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,上述车载***、ECU、域控制器或网关等为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法操作,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对车载安全保护***、ECU、域控制器或网关进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
比如,以采用集成的方式划分各个功能模块的情况下,图5示出了一种车载***50的结构示意图。该车载***50包括:ECU 501、域控制器502以及网关503。
其中,ECU 501上可以部署有第一安全保护模块,第一安全保护模块可以用于向ECU 501提供安全保护,第一安全保护模块的安全等级为第一安全等级。
其中,域控制器502上可以部署有第二安全保护模块,第二安全保护模块可以用于向所述域控制器502提供安全保护,第二安全保护模块的安全等级为第二安全等级。
其中,网关503上可以部署有第三安全保护模块,第三安全保护模块可以用于向网关503提供安全保护,第三安全保护模块的安全等级为第三安全等级。
以采用集成的方式划分各个功能模块的情况下,图6示出了一种ECU 501的结构示意图。ECU 501包括:生成模块5011、签名模块5012以及发送模块5013。
生成模块5011,用于通过该第一安全保护模块生成该ECU的公钥和该ECU的私钥。
签名模块5012,用于用该ECU的私钥对该ECU的固件摘要进行签名,得到第一签名信息,其中,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的。
发送模块5013,用于向域控制器发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要。
可选的,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。
可选的,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片。
可选的,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。
可选的,如图7所示,ECU 501还包括接收模块5014。接收模块5014,用于接收来自该域控制器的第一响应信息,该第一响应信息用于指示启动该ECU。
其中,上述方法实施例涉及的各操作的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该ECU 501以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该ECU 501可以采用图2所示的形式。
比如,图2中的处理器201可以通过调用存储器203中存储的计算机执行指令,使得ECU501执行上述方法实施例中的车载***安全保护方法。
示例性的,图7中的生成模块5011、签名模块5012、发送模块5013和接收模块5014的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现。或者,图7中的生成模块5011和签名模块5012的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现,图7中的发送模块5013和接收模块5014的功能/实现过程可以通过图2中的通信接口204来实现。
由于本实施例提供的ECU 501可执行上述的车载***安全保护方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
以采用集成的方式划分各个功能模块的情况下,图8示出了一种域控制器502的结构示意图。域控制器502包括:接收模块5021、生成模块5022、验证模块5023、签名模块5024以及发送模块5025。
接收模块5021,用于接收来自电子控制单元ECU的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的。
生成模块5022,用于通过该第二安全保护模块生成该域控制器的公钥和该域控制器的私钥。
验证模块5023,用于用该ECU的公钥验证该第一签名信息。
签名模块5024,用于若该第一签名信息验证成功,用该域控制器的私钥对该ECU的固件摘要进行签名,得到第二签名信息。
发送模块5025,用于向网关发送该第二签名信息、该域控制器的公钥以及该ECU的固件摘要。
可选的,该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级。
可选的,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。
可选的,该域控制器中存储有ECU的列表,该ECU为该列表中的ECU。
可选的,接收模块5021,还用于接收来自该网关的第一响应信息,该第一响应信息用于指示启动该ECU;发送模块5025,还用于向该ECU发送该第一响应信息。
其中,上述方法实施例涉及的各操作的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该域控制器502以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该域控制器502可以采用图2所示的形式。
比如,图2中的处理器201可以通过调用存储器203中存储的计算机执行指令,使得域控制器502执行上述方法实施例中的车载***安全保护方法。
示例性的,图8中的接收模块5021、生成模块5022、验证模块5023、签名模块5024以及发送模块5025的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现。或者,图8中的生成模块5022、验证模块5023以及签名模块5024的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现,图8中的接收模块5021和发送模块5025的功能/实现过程可以通过图2中的通信接口204来实现。
由于本实施例提供的域控制器502可执行上述的车载***安全保护方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
以采用集成的方式划分各个功能模块的情况下,图9示出了一种网关503的结构示意图。网关503包括:接收模块5031、生成模块5032、验证模块5033、签名模块5034以及发送模块5035。
接收模块5031,用于接收来自域控制器的第二签名信息、该域控制器的公钥以及该ECU的固件摘要,其中,该第二签名信息是用该域控制器的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的。
生成模块5032,用于通过该第三安全保护模块生成该网关的公钥和该网关的私钥。
验证模块5033,用于用该域控制器的公钥验证该第二签名信息。
签名模块5034,用于若该第二签名信息验证成功,用该网关的私钥对该ECU的固件摘要进行签名,得到第三签名信息。
发送模块5035,用于向服务器发送该第三签名信息、该网关的公钥以及该ECU的固件摘要。
可选的,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。
可选的,该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。
可选的,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。
可选的,接收模块5031,还用于接收来自该服务器的第一响应信息,该第一响应信息用于指示启动该ECU。发送模块5035,还用于向该域控制器发送该第一响应信息。
其中,上述方法实施例涉及的各操作的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该网关503以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该网关503可以采用图2所示的形式。
比如,图2中的处理器201可以通过调用存储器203中存储的计算机执行指令,使得网关503执行上述方法实施例中的车载***安全保护方法。
示例性的,图9中的接收模块5031、生成模块5032、验证模块5033、签名模块5034以及发送模块5035的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现。或者,图9中的生成模块5032、验证模块5033以及签名模块5034的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现,图9中的接收模块5031和发送模块5035的功能/实现过程可以通过图2中的通信接口204来实现。
由于本实施例提供的网关503可执行上述的车载***安全保护方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
以采用集成的方式划分各个功能模块的情况下,图10示出了又一种域控制器502的结构示意图。域控制器502包括:接收模块5026以及发送模块5027。
接收模块5026,用于接收来自电子控制单元ECU的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;
发送模块5027,用于向网关发送该第一签名信息、该ECU的公钥以及该ECU的固件摘要。
可选的,该ECU上部署有第一安全保护模块,该第一安全保护模块用于向该ECU提供安全保护,该第一安全保护模块的安全等级为第一安全等级;该网关上部署有第三安全保护模块,该第三安全保护模块用于向该网关提供安全保护,该第三安全保护模块的安全等级为第三安全等级。
可选的,该第一安全保护模块包括设备标识组合引擎DICE;该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。
可选的,该域控制器中存储有ECU的列表,该ECU为该列表中的ECU。
可选的,接收模块5026,用于接收来自该网关的第一响应信息,该第一响应信息用于指示启动该ECU;发送模块5027,用于向该ECU发送该第一响应信息。
其中,上述方法实施例涉及的各操作的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该域控制器502以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该域控制器502可以采用图2所示的形式。
比如,图2中的处理器201可以通过调用存储器203中存储的计算机执行指令,使得域控制器502执行上述方法实施例中的车载***安全保护方法。
示例性的,图10中的接收模块5026以及发送模块5027的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现。或者,图10中的接收模块5026和发送模块5027的功能/实现过程可以通过图2中的通信接口204来实现。
由于本实施例提供的域控制器502可执行上述的车载***安全保护方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
以采用集成的方式划分各个功能模块的情况下,图11示出了又一种网关503的结构示意图。网关503包括:接收模块5036和发送模块5037。
接收模块5036,用于接收来自域控制器的第一签名信息、该ECU的公钥以及该ECU的固件摘要,其中,该第一签名信息是用该ECU的私钥对该ECU的固件摘要进行签名得到的,该ECU的固件摘要是根据第一摘要函数对该ECU的固件进行计算得到的;
发送模块5037,用于向服务器发送该第一签名信息、该EUC的公钥以及该ECU的固件摘要。
可选的,该域控制器上部署有第二安全保护模块,该第二安全保护模块用于向该域控制器提供安全保护,该第二安全保护模块的安全等级为第二安全等级。
可选的,该第二安全保护模块包括稀可信平台模块TPM-Thin、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;该第三安全保护模块包括富可信平台模块TPM-Rich、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。
可选的,ECU的列表存储于该域控制器,该ECU为该列表中的ECU。
可选的,接收模块5036,用于接收来自该服务器的第一响应信息,该第一响应信息用于指示启动该ECU;发送模块5037,用于向该域控制器发送该第一响应信息。
其中,上述方法实施例涉及的各操作的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该网关503以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该网关503可以采用图2所示的形式。
比如,图2中的处理器201可以通过调用存储器203中存储的计算机执行指令,使得网关503执行上述方法实施例中的车载***安全保护方法。
示例性的,图11中的接收模块5036和发送模块5037的功能/实现过程可以通过图2中的处理器201调用存储器203中存储的计算机执行指令来实现。或者,图11中的接收模块5036和发送模块5037的功能/实现过程可以通过图2中的通信接口204来实现。
由于本实施例提供的网关503可执行上述的车载***安全保护方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (27)

1.一种车载***,其特征在于,所述车载***包括:网关、域控制器以及所述域控制器对应的电子控制单元ECU,所述网关与所述域控制器连接,所述域控制器与所述ECU连接;
所述ECU上部署有第一安全保护模块,所述第一安全保护模块用于向所述ECU提供安全保护,所述第一安全保护模块的安全等级为第一安全等级;其中,所述ECU,用于通过第一安全保护模块生成所述ECU的公钥和所述ECU的私钥;所述ECU还用于用所述ECU的私钥对所述ECU的固件摘要进行签名,得到第一签名信息,并通过所述域控制器、所述网关向服务器发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器上部署有第二安全保护模块,所述第二安全保护模块用于向所述域控制器提供安全保护,所述第二安全保护模块的安全等级为第二安全等级;
所述网关上部署有第三安全保护模块,所述第三安全保护模块用于向所述网关提供安全保护,所述第三安全保护模块的安全等级为第三安全等级。
2.根据权利要求1所述的车载***,其特征在于,所述第三安全等级大于或等于所述第二安全等级,所述第二安全等级大于所述第一安全等级。
3.根据权利要求1或2所述的车载***,其特征在于,
所述第一安全保护模块包括设备标识组合引擎DICE;
所述第二安全保护模块包括稀可信平台模块、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;
所述第三安全保护模块包括富可信平台模块、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。
4.一种车载***安全保护方法,其特征在于,所述方法包括:
电子控制单元ECU通过第一安全保护模块生成所述ECU的公钥和所述ECU的私钥,其中,所述第一安全保护模块用于向所述ECU提供安全保护,所述第一安全保护模块的安全等级为第一安全等级;
所述ECU用所述ECU的私钥对所述ECU的固件摘要进行签名,得到第一签名信息;
所述ECU向域控制器发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器接收来自所述ECU的所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器向网关发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述网关接收来自所述域控制器的所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述网关向服务器发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要。
5.根据权利要求4所述的方法,其特征在于,
所述第一安全保护模块包括设备标识组合引擎DICE。
6.根据权利要求4或5所述的方法,其特征在于,所述域控制器中存储有ECU的列表,所述ECU为所述列表中的ECU。
7.根据权利要求4所述的方法,其特征在于,所述ECU的固件摘要是根据第一摘要函数对所述ECU的固件进行计算得到的。
8.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述服务器接收来自所述网关的所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述服务器用所述ECU的公钥验证所述第一签名信息;
若所述第一签名信息验证成功,所述服务器向所述网关发送第一响应信息,所述第一响应信息用于指示启动所述ECU;
所述网关接收来自所述服务器的所述第一响应信息;
所述网关向所述域控制器发送所述第一响应信息;
所述域控制器接收来自所述网关的所述第一响应信息;
所述域控制器向所述ECU发送所述第一响应信息;
所述ECU接收来自所述域控制器的所述第一响应信息。
9.一种车载***安全保护方法,其特征在于,所述方法包括:
电子控制单元ECU通过第一安全保护模块生成所述ECU的公钥和所述ECU的私钥,其中,所述第一安全保护模块用于向所述ECU提供安全保护,所述第一安全保护模块的安全等级为第一安全等级;
所述ECU用所述ECU的私钥对所述ECU的固件摘要进行签名,得到第一签名信息;
所述ECU向域控制器发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器接收来自所述ECU的所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器通过第二安全保护模块生成所述域控制器的公钥和所述域控制器的私钥,其中,所述第二安全保护模块用于向所述域控制器提供安全保护,所述第二安全保护模块的安全等级为第二安全等级;
所述域控制器用所述ECU的公钥验证所述第一签名信息;
若所述第一签名信息验证成功,所述域控制器用所述域控制器的私钥对所述ECU的固件摘要进行签名,得到第二签名信息;
所述域控制器向网关发送所述第二签名信息、所述域控制器的公钥以及所述ECU的固件摘要;
所述网关接收来自所述域控制器的所述第二签名信息、所述域控制器的公钥以及所述ECU的固件摘要;
所述网关通过第三安全保护模块生成所述网关的公钥和所述网关的私钥,其中,所述第三安全保护模块用于向所述网关提供安全保护,所述第三安全保护模块的安全等级为第三安全等级;
所述网关用所述域控制器的公钥验证所述第二签名信息;
若所述第二签名信息验证成功,所述网关用所述网关的私钥对所述ECU的固件摘要进行签名,得到第三签名信息;
所述网关向服务器发送所述第三签名信息、所述网关的公钥以及所述ECU的固件摘要。
10.根据权利要求9所述的方法,其特征在于,所述第三安全等级大于或等于所述第二安全等级,所述第二安全等级大于所述第一安全等级。
11.根据权利要求9所述的方法,其特征在于,
所述第一安全保护模块包括设备标识组合引擎DICE;
所述第二安全保护模块包括稀可信平台模块、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;
所述第三安全保护模块包括富可信平台模块、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。
12.根据权利要求9-11任一项所述的方法,其特征在于,所述域控制器中存储有ECU的列表,所述ECU为所述列表中的ECU。
13.根据权利要求9所述的方法,其特征在于,所述ECU的固件摘要是根据第一摘要函数对所述ECU的固件进行计算得到的。
14.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述服务器接收来自所述网关的所述第三签名信息、所述网关的公钥以及所述ECU的固件摘要;
所述服务器用所述网关的公钥验证所述第三签名信息;
若所述第三签名信息验证成功,所述服务器向所述网关发送第一响应信息,所述第一响应信息用于指示启动所述ECU;
所述网关接收来自所述服务器的所述第一响应信息;
所述网关向所述域控制器发送所述第一响应信息;
所述域控制器接收来自所述网关的所述第一响应信息;
所述域控制器向所述ECU发送所述第一响应信息;
所述ECU接收来自所述域控制器的所述第一响应信息。
15.一种车载安全保护***,其特征在于,所述车载安全保护***包括:电子控制单元ECU、域控制器以及网关;
所述ECU,用于通过第一安全保护模块生成所述ECU的公钥和所述ECU的私钥,其中,所述第一安全保护模块用于向所述ECU提供安全保护,所述第一安全保护模块的安全等级为第一安全等级;
所述ECU,还用于用所述ECU的私钥对所述ECU的固件摘要进行签名,得到第一签名信息;
所述ECU,还用于向所述域控制器发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器,用于接收来自所述ECU的所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器,还用于向所述网关发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述网关,用于接收来自所述域控制器的所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述网关,还用于向服务器发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要。
16.根据权利要求15所述的车载安全保护***,其特征在于,
所述第一安全保护模块包括设备标识组合引擎DICE。
17.根据权利要求15或16所述的车载安全保护***,其特征在于,所述域控制器中存储有ECU的列表,所述ECU为所述列表中的ECU。
18.根据权利要求15所述的车载安全保护***,其特征在于,所述ECU的固件摘要是根据第一摘要函数对所述ECU的固件进行计算得到的。
19.根据权利要求15所述的车载安全保护***,其特征在于,所述车载安全保护***还包括:服务器;
所述服务器,用于接收来自所述网关的所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述服务器,还用于用所述ECU的公钥验证所述第一签名信息;
所述服务器,还用于若所述第一签名信息验证成功,向所述网关发送第一响应信息,所述第一响应信息用于指示启动所述ECU;
所述网关,还用于接收来自所述服务器的所述第一响应信息;
所述网关,还用于向所述域控制器发送所述第一响应信息;
所述域控制器,还用于接收来自所述网关的所述第一响应信息;
所述域控制器,还用于向所述ECU发送所述第一响应信息;
所述ECU,还用于接收来自所述域控制器的所述第一响应信息。
20.一种车载安全保护***,其特征在于,所述车载安全保护***包括:电子控制单元ECU、域控制器以及网关;
所述ECU,用于通过第一安全保护模块生成所述ECU的公钥和所述ECU的私钥,其中,所述第一安全保护模块用于向所述ECU提供安全保护,所述第一安全保护模块的安全等级为第一安全等级;
所述ECU,还用于用所述ECU的私钥对所述ECU的固件摘要进行签名,得到第一签名信息;
所述ECU,还用于向所述域控制器发送所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器,用于接收来自所述ECU的所述第一签名信息、所述ECU的公钥以及所述ECU的固件摘要;
所述域控制器,还用于通过第二安全保护模块生成所述域控制器的公钥和所述域控制器的私钥,其中,所述第二安全保护模块用于向所述域控制器提供安全保护,所述第二安全保护模块的安全等级为第二安全等级;
所述域控制器,还用于用所述ECU的公钥验证所述第一签名信息;
所述域控制器,还用于若所述第一签名信息验证成功,用所述域控制器的私钥对所述ECU的固件摘要进行签名,得到第二签名信息;
所述域控制器,还用于向所述网关发送所述第二签名信息、所述域控制器的公钥以及所述ECU的固件摘要;
所述网关,用于接收来自所述域控制器的所述第二签名信息、所述域控制器的公钥以及所述ECU的固件摘要;
所述网关,还用于通过第三安全保护模块生成所述网关的公钥和所述网关的私钥,其中,所述第三安全保护模块用于向所述网关提供安全保护,所述第三安全保护模块的安全等级为第三安全等级;
所述网关,还用于用所述域控制器的公钥验证所述第二签名信息;
所述网关,还用于若所述第二签名信息验证成功,用所述网关的私钥对所述ECU的固件摘要进行签名,得到第三签名信息;
所述网关,还用于向服务器发送所述第三签名信息、所述网关的公钥以及所述ECU的固件摘要。
21.根据权利要求20所述的车载安全保护***,其特征在于,所述第三安全等级大于或等于所述第二安全等级,所述第二安全等级大于所述第一安全等级。
22.根据权利要求20或21所述的车载安全保护***,其特征在于,
所述第一安全保护模块包括设备标识组合引擎DICE;
所述第二安全保护模块包括稀可信平台模块、或者嵌入式安全元件eSE、或者包括物理隔离的安全处理器SP***的芯片、或者包括物理隔离的硬件安全模块HSM芯片;
所述第三安全保护模块包括富可信平台模块、或者eSE、或者包括物理隔离的SP***的芯片、或者包括物理隔离的HSM芯片。
23.根据权利要求20所述的车载安全保护***,其特征在于,所述域控制器中存储有ECU的列表,所述ECU为所述列表中的ECU。
24.根据权利要求20所述的车载安全保护***,其特征在于,所述ECU的固件摘要是根据第一摘要函数对所述ECU的固件进行计算得到的。
25.根据权利要求20所述的车载安全保护***,其特征在于,所述车载安全保护***还包括:服务器;
所述服务器,用于接收来自所述网关的所述第三签名信息、所述网关的公钥以及所述ECU的固件摘要;
所述服务器,还用于用所述网关的公钥验证所述第三签名信息;
所述服务器,还用于若所述第三签名信息验证成功,向所述网关发送第一响应信息,所述第一响应信息用于指示启动所述ECU;
所述网关,还用于接收来自所述服务器的所述第一响应信息;
所述网关,还用于向所述域控制器发送所述第一响应信息;
所述域控制器,还用于接收来自所述网关的所述第一响应信息;
所述域控制器,还用于向所述ECU发送所述第一响应信息;
所述ECU,还用于接收来自所述域控制器的所述第一响应信息。
26.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有程序指令,所述程序指令运行时,以实现权利要求4-8中任一所述的车载***安全保护方法。
27.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有程序指令,所述程序指令运行时,以实现权利要求9-14中任一所述的车载***安全保护方法。
CN201910770024.8A 2019-08-20 2019-08-20 车载***安全保护方法及设备 Active CN112422595B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201910770024.8A CN112422595B (zh) 2019-08-20 2019-08-20 车载***安全保护方法及设备
JP2022510835A JP7327731B2 (ja) 2019-08-20 2020-08-19 車載システムにおけるセキュリティ保護方法およびデバイス
PCT/CN2020/110078 WO2021032132A1 (zh) 2019-08-20 2020-08-19 车载***安全保护方法及设备
EP20853836.3A EP4016955B1 (en) 2019-08-20 2020-08-19 Security protection method and device for vehicle-mounted system
US17/675,966 US20220173902A1 (en) 2019-08-20 2022-02-18 Security protection method in in-vehicle system and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910770024.8A CN112422595B (zh) 2019-08-20 2019-08-20 车载***安全保护方法及设备

Publications (2)

Publication Number Publication Date
CN112422595A CN112422595A (zh) 2021-02-26
CN112422595B true CN112422595B (zh) 2022-10-11

Family

ID=74660481

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910770024.8A Active CN112422595B (zh) 2019-08-20 2019-08-20 车载***安全保护方法及设备

Country Status (5)

Country Link
US (1) US20220173902A1 (zh)
EP (1) EP4016955B1 (zh)
JP (1) JP7327731B2 (zh)
CN (1) CN112422595B (zh)
WO (1) WO2021032132A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114598718B (zh) * 2021-03-25 2024-04-05 长城汽车股份有限公司 远程限制车辆启动的方法、***、车载网关及车身控制器
JP2022154558A (ja) * 2021-03-30 2022-10-13 本田技研工業株式会社 車載電子システム、車両、制御方法、及びプログラム
CN113722104B (zh) * 2021-09-10 2024-06-25 上海芯钛信息科技有限公司 车载域控制器芯片***及提升车载域控制器安全性的方法
CN114866372B (zh) * 2022-04-22 2024-07-19 锦图计算技术(深圳)有限公司 驾驶域的智能安全网关
CN117041301B (zh) * 2023-10-08 2023-12-22 南京翼辉信息技术有限公司 一种车载边缘计算***

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3319266A1 (en) * 2015-07-03 2018-05-09 KDDI Corporation Software distribution processing device, vehicle, software distribution processing method, and computer program
CN109257374A (zh) * 2018-10-31 2019-01-22 百度在线网络技术(北京)有限公司 安全控制方法、装置和计算机设备
CN109640293A (zh) * 2019-01-08 2019-04-16 北京汽车股份有限公司 车辆通信***和车辆
CN109714344A (zh) * 2018-12-28 2019-05-03 国汽(北京)智能网联汽车研究院有限公司 基于“端-管-云”的智能网联汽车信息安全平台
CN109729056A (zh) * 2017-10-30 2019-05-07 北京长城华冠汽车科技股份有限公司 基于车联网的整车网络安全防护方法及整车网络架构
CN109995631A (zh) * 2019-03-21 2019-07-09 东风汽车集团有限公司 具有域控制功能的车载控制***及方法
WO2019156716A1 (en) * 2018-02-09 2019-08-15 Intel Corporation Trusted iot device configuration and onboarding

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010011400A (ja) 2008-06-30 2010-01-14 National Institute Of Advanced Industrial & Technology 共通鍵方式の暗号通信システム
JP5479408B2 (ja) 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
US20130111212A1 (en) * 2011-10-28 2013-05-02 GM Global Technology Operations LLC Methods to provide digital signature to secure flash programming function
US8856536B2 (en) * 2011-12-15 2014-10-07 GM Global Technology Operations LLC Method and apparatus for secure firmware download using diagnostic link connector (DLC) and OnStar system
US20140058532A1 (en) * 2012-08-23 2014-02-27 GM Global Technology Operations LLC Method for partial flashing of ecus
JP5949572B2 (ja) 2013-01-18 2016-07-06 トヨタ自動車株式会社 車両不正状態検出方法、車載システムにおける制御方法、およびシステム
US20170150361A1 (en) 2015-11-20 2017-05-25 Faraday&Future Inc. Secure vehicle network architecture
US10616197B2 (en) * 2016-04-18 2020-04-07 Atmel Corporation Message authentication with secure code verification
KR101838511B1 (ko) * 2016-05-17 2018-03-14 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
CN106230678A (zh) * 2016-07-29 2016-12-14 北京新能源汽车股份有限公司 基于车载网关控制器的信息处理方法及网关控制器
US10346152B2 (en) * 2016-09-20 2019-07-09 At&T Intellectual Property I, L.P. Facilitating use of a universal integrated circuit card (UICC) for secure device updates
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
CN106899404B (zh) * 2017-02-15 2020-06-02 同济大学 基于预共享密钥的车载can fd总线通信***及方法
US11194562B2 (en) * 2017-05-19 2021-12-07 Blackberry Limited Method and system for hardware identification and software update control
US20190182267A1 (en) 2017-12-13 2019-06-13 International Business Machines Corporation Vehicle security manager
US10243732B1 (en) * 2018-06-27 2019-03-26 Karamba Security Cryptographic key management for end-to-end communication security
US11050556B2 (en) * 2018-07-13 2021-06-29 Micron Technology, Inc. Secure vehicular communication
US10991175B2 (en) * 2018-12-27 2021-04-27 Beijing Voyager Technology Co., Ltd. Repair management system for autonomous vehicle in a trusted platform
CN109714421B (zh) * 2018-12-28 2021-08-03 国汽(北京)智能网联汽车研究院有限公司 基于车路协同的智能网联汽车运行***

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3319266A1 (en) * 2015-07-03 2018-05-09 KDDI Corporation Software distribution processing device, vehicle, software distribution processing method, and computer program
CN109729056A (zh) * 2017-10-30 2019-05-07 北京长城华冠汽车科技股份有限公司 基于车联网的整车网络安全防护方法及整车网络架构
WO2019156716A1 (en) * 2018-02-09 2019-08-15 Intel Corporation Trusted iot device configuration and onboarding
CN109257374A (zh) * 2018-10-31 2019-01-22 百度在线网络技术(北京)有限公司 安全控制方法、装置和计算机设备
CN109714344A (zh) * 2018-12-28 2019-05-03 国汽(北京)智能网联汽车研究院有限公司 基于“端-管-云”的智能网联汽车信息安全平台
CN109640293A (zh) * 2019-01-08 2019-04-16 北京汽车股份有限公司 车辆通信***和车辆
CN109995631A (zh) * 2019-03-21 2019-07-09 东风汽车集团有限公司 具有域控制功能的车载控制***及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"基于RX62N微控制器的车载以太网通信及安全技术实现";郭志红;《中国优秀硕士学位论文全文数据库(电子期刊)工程科技Ⅱ辑》;20141031;全文 *
Junwon Kim ; KeyHo Kwon ; JaeWook Jeon."Validation of CAN-CAN gateway in the automotive network system".《2017 17th International Conference on Control, Automation and Systems (ICCAS)》.2017, *

Also Published As

Publication number Publication date
EP4016955A1 (en) 2022-06-22
JP7327731B2 (ja) 2023-08-16
WO2021032132A1 (zh) 2021-02-25
CN112422595A (zh) 2021-02-26
JP2022545420A (ja) 2022-10-27
EP4016955B1 (en) 2024-02-14
US20220173902A1 (en) 2022-06-02
EP4016955A4 (en) 2022-09-28

Similar Documents

Publication Publication Date Title
CN112422595B (zh) 车载***安全保护方法及设备
CN110383773B (zh) 具有相关设备的被配置成基于面向服务的体系结构实施集中式服务ecu的专门编程的计算***及其使用方法
US11223631B2 (en) Secure compliance protocols
US20210185095A1 (en) Virtualized controllers for in-vehicle and iot networks
US9705678B1 (en) Fast CAN message authentication for vehicular systems
EP4068083A1 (en) Upgrading method and apparatus
US20220276855A1 (en) Method and apparatus for processing upgrade package of vehicle
EP3759588B1 (en) Method and apparatus for updating devices in a remote network
CN113439425B (zh) 报文传输方法及装置
EP3982587A1 (en) Authentication method, device, and system
EP2823619A1 (en) Policy for secure packet transmission using required node paths and cryptographic signatures
CN112913189B (zh) 一种ota升级方法及装置
CN104461683A (zh) 一种虚拟机非法配置的校验方法、装置及***
EP3429158A1 (en) Secure communication method and apparatus for vehicle, vehicle multimedia system, and vehicle
Thangarajan et al. Towards bridging the gap between modern and legacy automotive ecus: A software-based security framework for legacy ecus
Thangarajan et al. Towards bridging the gap between modern and legacy automotive ECUs: A Software-based Security Framework for Legacy ECUs
US10638313B2 (en) Systems and methods for confirming a cryptographic key
CN114879980A (zh) 车载应用安装方法、装置、计算机设备、存储介质
CN117313071A (zh) 密码功能的调用方法、***和装置
CN117378169A (zh) 一种密钥生成方法及装置
CN115333937A (zh) 数据下载方法、装置及电子设备
CN115664803A (zh) 一种密钥的获取方法、装置及电子设备
CN117792666A (zh) 远程证明方法、装置及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant