分配用于管理对ecu的访问的秘密密钥的制作方法
分配用于管理对ecu的访问的秘密密钥的制作方法
【技术领域】
[0001]本发明涉及电子控制单元(ECU),更具体地涉及使用密码密钥系统来控制对ECU的访问。
【背景技术】
[0002]许多车辆和其它装置包括管控多种任务的电子控制单元(EOT)。EOT可编程为执行计算机可读指令并且基于这些指令来控制机械和/或电气装置。例如,动力系控制模块(PCM)可充当车辆的动力系的中央决策管理机构,并且采取实现该目的的ECU的形式。多个车辆发动机参数可由PCM控制,例如,内燃发动机(ICE)的点火正时或排气再循环(EGR)阀等。
[0003]车辆或装置的制造商可能希望调控对ECU的指令或其它操作方面的访问。使用上述PCM的示例,车辆制造商可能希望将对ECU的指令和其它特征的访问限制到授权个体。为此,机密的密码密钥可用来在其被制造时创建用于每个ECU的唯一的解锁密钥。ECU的制造商可接着将解锁密钥存储在中央数据库中。然而,这样的系统可能是有问题的。考虑到制造的ECU的体积,维护包括所有ECU解锁密钥的数据库会消耗显著量的计算空间和资源。考虑到ECU可能不是由单个制造商,而是由多个不同的制造商制造,创建这样的数据库可能是复杂而困难的。此外,如果包括在数据库中的数据变得被损坏,则不可以访问许多(如果不是全部的话)在数据库中识别的ECU。有益的是,控制对ECU的访问而不依靠中央数据库来识别解锁密钥。
【发明内容】
[0004]根据本发明的一个实施例,提供了一种控制对电子控制单元(ECU)的访问的方法。该方法包括:在ECU供应商计算机处接收使用供应商识别符从主加密密钥导出的供应商加密密钥,所述供应商识别符识别ECU供应商;发出ECU识别符,所述ECU识别符识别ECU并包括供应商识别符;使用供应商加密密钥和ECU识别符为ECU生成ECU解锁授权密钥;以及将ECU解锁授权密钥和ECU识别符存储在ECU中。
[0005]根据本发明的另一个实施例,提供了一种控制对电子控制单元(ECU)的访问的方法。该方法包括:在具有对主加密密钥的访问入口的中央设施处接收已从ECU访问到的ECU识别符;分离包括在ECU识别符中的供应商识别符;使用主加密密钥从供应商识别符重新创建供应商加密密钥;以及使用供应商加密密钥和ECU识别符生成ECU解锁授权密钥。
[0006]根据本发明的又一个实施例,提供了一种控制对电子控制单元(ECU)的访问的方法。该方法包括:生成用于创建供应商加密密钥的主加密密钥;使用主加密密钥和供应商识别符生成供应商加密密钥;将供应商加密密钥提供至ECU供应商计算机;发出ECU识别符,所述ECU识别符唯一地识别ECU并包括供应商识别符;使用供应商加密密钥和ECU识别符为ECU生成ECU解锁授权密钥;将ECU解锁授权密钥和ECU识别符存储在ECU中;在具有对主加密密钥的访问入口的中央设施处接收已从ECU访问到的ECU识别符;分离包括在ECU识别符中的供应商识别符;使用主加密密钥从供应商识别符重新创建供应商加密密钥;以及使用供应商加密密钥和ECU识别符生成ECU解锁授权密钥。
[0007]本发明还包括如下方案:
1.一种控制对电子控制单元(ECU)的访问的方法,包括以下步骤:
(a)在ECU供应商计算机处接收使用供应商识别符从主加密密钥导出的供应商加密密钥,所述供应商识别符识别ECU供应商;
(b)发出ECU识别符,所述ECU识别符识别ECU并且包括所述供应商识别符;
(c)使用所述供应商加密密钥和所述ECU识别符为所述ECU生成ECU解锁授权密钥;
以及
(d)将所述ECU解锁授权密钥和所述ECU识别符存储在所述ECU中。
[0008]2.根据方案1所述的方法,还包括使用所述供应商加密密钥和所述EOT识别符生成多个ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。
[0009]3.根据方案1所述的方法,其中,所述供应商加密密钥从具有对于所述主加密密钥的访问入口的中央设施处传达。
[0010]4.根据方案1所述的方法,还包括在中央设施处将所述供应商识别符分配给所述ECU供应商的步骤。
[0011]5.根据方案1所述的方法,还包括将所述EOT安装在车辆中的步骤。
[0012]6.根据方案1所述的方法,还包括以下步骤:从所述E⑶访问所述E⑶识别符;识别所述供应商识别符与所述ECU识别符;使用所述主加密密钥将所述供应商识别符输入到密钥生成算法中;以及重新创建所述供应商加密密钥。
[0013]7.根据方案6所述的方法,还包括使用所述供应商加密密钥将所述EOT识别符输入到密钥生成算法中并且重新创建所述ECU解锁授权密钥的步骤。
[0014]8.一种控制对电子控制单元(EOT)的访问的方法,包括以下步骤:
(a)在具有对于主加密密钥的访问入口的中央设施处接收已从ECU访问到的ECU识别符;
(b)分离包括在所述ECU识别符中的供应商识别符;
(c)使用所述主加密密钥从所述供应商识别符重新创建供应商加密密钥;以及
(d)使用所述供应商加密密钥和所述ECU识别符生成ECU解锁授权密钥。
[0015]9.根据方案8所述的方法,还包括使用所述供应商加密密钥和所述EOT识别符生成第二 ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。
[0016]10.根据方案8所述的方法,其中,所述EOT识别符从车辆诊断工具处传达。
[0017]11.根据方案8所述的方法,其中,所述E⑶安装在车辆中。
[0018]12.一种控制对电子控制单元(ECU)的访问的方法,包括以下步骤:
(a)生成主加密密钥以用于创建供应商加密密钥;
(b)使用所述主加密密钥和供应商识别符生成供应商加密密钥;
(c)将所述供应商加密密钥提供至ECU供应商计算机;
(d)发出ECU识别符,所述ECU识别符唯一地识别ECU并且包括所述供应商识别符; (e)使用所述供应商加密密钥和所述ECU识别符为所述ECU生成ECU解锁授权密钥;
(f)将所述ECU解锁授权密钥和所述ECU识别符存储在所述ECU中;
(g)在具有对于所述主加密密钥的访问入口的中央设施处接收已从所述ECU访问的所述ECU识别符;
(h)分离包括在所述ECU识别符中的所述供应商识别符;
(i)使用所述主加密密钥从所述供应商识别符重新创建所述供应商加密密钥;以及 (j)使用所述供应商加密密钥和所述ECU识别符生成所述ECU解锁授权密钥。
[0019]13.根据方案12所述的方法,还包括使用所述供应商加密密钥和所述E⑶识别符生成多个ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。
[0020]14.根据方案12所述的方法,还包括在中央设施处将所述供应商识别符分配给所述ECU供应商的步骤。
[0021]15.根据方案12所述的方法,还包括将所述EOT安装在车辆中的步骤。
【附图说明】
[0022]下面将结合附图描述描述本发明的一个或多个实施例,在附图中,相同的标号代表相同的元件,并且其中:
图1是描绘能够利用本文所公开的方法的通信系统的实施例的框图;以及图2是控制对电子控制单元(ECU)的访问的方法的流程图的框图。
【具体实施方式】
[0023]以下描述的系统和方法通过使用机密的主加密密钥来控制对电子控制单元(ECU)的访问,该主加密密钥通过以密码学方式操纵分配给每个ECU供应商的供应商识别符而为ECU的每个供应商或制造商生成唯一的供应商加密密钥。每个供应商加密密钥可被提供至具体的ECU供应商,该供应商可以用ECU识别符和唯一的ECU解锁授权密钥对其制造的每个EOT加密。对于所制造的每个EOT来说,EOT供应商可生成这样的EOT识别符:其不仅唯一地识别E⑶,而且包括供应商识别符。可使用供应商加密密钥和密钥生成算法来处理EOT识别符,使得ECU识别符被以密码学方式操纵,以创建将与ECU识别符一起存储在ECU中的E⑶解锁授权密钥。
[0024]在特定的ECU被制造或安装在车辆中之后,授权个 体可能想要访问该ECU。为了允许这样的访问,授权个体可联系中央设施,该中央设施具有对于生成供应商加密密钥的主加密密钥的访问入口。可将待访问的ECU的ECU识别符提供给中央设施,并可将供应商识别符与ECU识别符分离。中央设施可使用主加密密钥将待访问的ECU的供应商识别符馈入到密钥生成算法中,以便为待访问的ECU重新创建供应商加密密钥。然后,可使用重新创建的供应商加密密钥将ECU识别符输入到密钥生成算法以生成ECU解锁授权密钥的副本。对ECU的访问可通过使用ECU解锁授权密钥的副本来实现。代替维护将所制造的每个ECU与其对应的密钥包括在一起的数据库,可根据需要使用多层加密密钥系统重新创建具体的ECU解锁授权密钥,该加密密钥系统涉及主加密密钥,主加密密钥可被调用以重新创建唯一的供应商加密密钥。供应商加密密钥接着可重新创建特定的ECU解锁授权密钥。
[0025]参照图1,示出了系统10,其可用来实现下文所述控制对电子控制单元(EOT)的访问的方法。系统10大体包括中央设施12,中央设施12存储主加密密钥或通常具有对于主加密密钥的访问入口。中央设施12可经由通信网络16连接到EOT供应商计算机14。作为生产ECU或对ECU编程的一部分,供应商计算机14可使用利用主加密密钥创建的供应商加密密钥。供应商计算机14可与EOT 18通信地链接,使得计算机14可经由通信链路20将编程提供给EOT 18,该编程包括一个或多个EOT解锁授权密钥和EOT识别符。一旦完成编程,就可将ECU 18安装在车辆22中。在安装之后,授权用户可以使用诸如车辆诊断工具24的装置来尝试访问ECU 18。授权用户可将车辆诊断工具24与车辆22通信地链接,并且车辆诊断工具24也可与中央设施12无线地通信。应当理解,所公开的方法可与许多不同的系统一起使用,并且不具体地局限于此处所示操作环境。另外,系统10及其各个部件的架构、构造、设置和操作是本领域通常已知的。因此,以下段落只是提供一种这样的计算系统10的简要概述;然而,此处未示出的其它系统也可采用所公开的方法。
[0026]中央设施12可包括一个或多个计算机,所述计算机可经由通信网络16从远程位置访问。中央设施12可充当主加密密钥的储存库并接受来自尝试生成供应商加密密钥和/或ECU解锁授权密钥的授权用户的查询。作为在中央设施12处使用的计算资源或计算机的一部分,中央设施12可包括计算机可读存储器装置,其不仅存储主加密密钥,而且存储一个或多个供应商识别符,每个供应商识别符唯一地识别ECU的特定供应商或制造商。中央设施12也可以从远程位置访问主加密密钥。
[0027]ECU供应商计算机14可以是诸如个人计算机(PC)的计算装置,其由供应/制造ECU的组织或维护ECU的个人操作。供应商计算机14大体包括一个或多个微处理器、存储装置、外围装置和调制解调器形式的硬件。典型的供应商计算机14可接收来自诸如键盘和鼠标的外围装置的输入,并且经由诸如监视器的其它外围装置来输出信息。在该布置中,常见的是,供应商计算机14在桌面或其它类似的位置保持静止。然而,也可以将供应商计算机14实现为具有许多(如果不是所有的话)以上讨论的元件的便携式装置,例如,膝上型计算机或手持计算机(未示出)。供应商计算机14的微处理器可包括中央处理单元(CPU),其执行计算机可读代码形式的软件或软件指令。软件可存储在存储装置中,该存储装置可以是本领域已知的任何类型的非易失性存储器。在CPU和其它硬件元件之间的通信可以在总线上实现,如使用印刷电路板(PCB)可实现那样。在一个实施中,通过使用存储在供应商计算机14的存储装置中的供应商加密密钥将包括供应商识别符的ECU识别符馈入或输入密钥生成算法,供应商计算机14可使用CPU来访问创建加密密钥的软件。加密密钥可使用下文更详细讨论的密钥生成算法来创建。此外,ECU供应商计算机14可实现不同的硬件和/或软件解决方案,该解决方案有助于保护供应商加密密钥的机密性。在一些实施中,ECU供应商计算机14可与硬件安全模块一起使用,该模块可实现安全处理器以保护供应商加密密钥,如本领域的技术人员所知道那样。
[0028]通信系统16可包括陆基通信系统的元件和无线通信系统的元件。在一个实施中,通信系统16包括蜂窝电话系统,其包括多个蜂窝塔、一个或多个移动交换中心(MSC)、以及将无线通信系统与陆地网络连接所需的任何其它联网部件。每个蜂窝塔包括发送和接收天线及基站,其中来自不同蜂窝塔的基站直接地或经由诸如基站控制器的中间设备连接到MSCo蜂窝系统可实现任何合适的通信技术,包括例如诸如AMPS的模拟技术或诸如CDMA (如CDMA2000)、GSM/GPRS或4G LTE的较新的数字技术。本领域的技术人员可以理解,各种蜂窝塔/基站/MSC布置是可能的,并可用来实现通信系统16的无线能力。例如,基站和蜂窝塔可共同位于同一地点,或者它们可以彼此远离,每个基站可以负责单个蜂窝塔,或者单个基站可服务于各种蜂窝塔,并且各种基站可联接到单个MSC,以上仅列举出几种可能的布置。
[0029]通信系统16的陆地网络部分可以是连接到一个或多个固定电话的常规陆基通信网络。例如,陆地网络可包括公共交换电话网(PSTN),例如用来提供硬连线电话、包交换的数据通信和因特网基础结构的公共交换电话网。陆地网络16的一个或多个区段可通过使用标准有线网络、光纤或其它光网络、电缆网络、电力线、诸如无线局域网(WLAN)的其它无线网络或提供宽带无线接入(BWA)的网络或者它们的任何组合来实现。
[0030]EOT 18可经由通信链路20通信地链接到供应商计算机14。EOT是可包括多种硬件元件的装置,所述硬件元件为例如微处理器、一个或多个存储装置、输入/输出元件、链接这些硬件元件的通信总线、以及基本上包围该硬件的外壳。EOT 18可在微处理器、(多个)存储装置或两者中在ECU 18存储软件指令以及可用来调控对ECU 18或其功能的访问的加密密钥。通信链路20可以是有线数据连接,例如,通用串行总线(USB)连接或已知的其它类似的数据电缆协议。在一个实施中,供应商计算机14经由数据电缆连接,该数据电缆在每个端部处具有诸如通用串行总线(USB)连接器的连接器,并且在供应商计算机14和EOT 18之间双向载送数据。然而,在其它应用中,EOT 18可将通信链路20实现为天线(未示出),其可用来与供应商计算机14无线地通信。
[0031]—旦由供应商计算机14编程,EOT 18就可安装在车辆22中。车辆22在图示实施例中描绘为乘用车,但应当理解,也可使用任何其它车辆,包括摩托车、卡车、运动型多功能车(SUV)、休闲车(RV)、航海船舶、飞行器等。车辆电子器件28中的一些大体上在图1中示出并且包括远程信息处理单元30、麦克风32、一个或多个按钮或其它控制输入装置34、音频系统36、可视显示器38和GPS模块40。这些装置中的一些可直接连接到诸如麦克风32和(多个)按钮34的远程信息处理单元,而另一些使用诸如通信总线44或娱乐总线46的一个或多个网络连接间接地连接。合适的网络连接的示例包括控制器局域网(CAN)、媒体导向系统传输(MOST)、局部互连网络(LIN)、局域网(LAN)、以及诸如以太网的其它合适的连接,或其它符合已知的ISO、SAE和IEEE标准和规范的连接,这里只列出一些。
[0032]远程信息处理单元30可以是OEM安装(嵌入)的或市场采购的装置,其安装在车辆中并且能够通过无线载波系统14并经由无线联网进行无线语音和/或数据通信。这使车辆能够与其它能够远程通信的车辆或某些其它实体或装置进行通信。远程信息处理单元优选地使用无线电传输来与无线载波系统14建立通信信道(语音信道和/或数据信道),从而使语音和/或数据传输可通过所述信道发送和接收。通过提供语音和数据通信,远程信息处理单元30使车辆能够提供包括与导航、电话服务、紧急援助、诊断、信息娱乐等有关的那些的多种不同服务。数据可以经由数据连接来发送,例如,经由通过数据信道的分组数据传输或者经由语音信道使用本领域中的公知技术。对于涉及语音通信和数据通信两者的组合服务,所述系统可利用通过语音信道的单次呼叫并且根据需要通过语音信道在语音与数据传输之间切换,并且这可以使用本领域技术人员公知的技术来完成。
[0033]根据一个实施例,远程信息处理单元30利用根据GSM或CDMA标准的蜂窝通信,并且因此包括用于如免提呼叫的语音通信的标准蜂窝芯片组50、用于数据传输的无线调制解调器、电子处理装置52、一个或多个数字存储装置54、以及双天线 56。应当理解,调制解调器可通过存储在远程信息处理单元中并由处理器52执行的软件来实现,或者它可以是位于远程信息处理单元30内部或外部的单独的硬件部件。调制解调器可使用诸如EVDO、CDMA、GPRS和EDGE的许多不同的标准或协议操作。在车辆和其它联网装置之间的无线联网也可使用远程信息处理单元30进行。为此,远程信息处理单元30可配置成根据一种或多种无线协议(例如,IEEE 802.11协议、WiMAX或蓝牙中的任一种)无线地通信。当用于诸如TCP/IP的分组切换的数据通信时,远程信息处理单元可被配置成具有静态IP地址或可设置成从网络上的另一个装置(例如路由器)或从网络地址服务器自动地接收所分配的IP地址。
[0034]处理器52可以是能够处理电子指令的任何类型的装置,包括微处理器、微控制器、主机处理器、控制器、车辆通信处理器、电子控制单元(E⑶)、以及专用集成电路(ASIC)。它可以是仅用于远程信息处理单元30的专用处理器,或者可与其它车辆系统共享。处理器52执行各种类型的数字存储指令,例如,存储在存储器54中的软件或固件程序,其使得远程信息处理单元能够提供各种各样的服务。例如,处理器52可执行程序或处理数据以执行本文所讨论的方法的至少一部分。
[0035]GPS模块40从GPS卫星的群集60接收无线电信号。模块40可从这些信号确定车辆位置,该位置用于为车辆驾驶员提供导航和其它位置相关的服务。导航信息可呈现在显示器38 (或车辆内的其它显示器)上,或者可以以语音方式呈现,例如在提供转弯路口导航时所进行那样。导航服务可使用专用的车辆内导航模块(其可以是GPS模块40的一部分)提供,或者一些或全部导航服务可经由远程信息处理单元30完成,其中,位置信息被发送至远程位置以便为车辆提供导航地图、地图注记(感兴趣点、饭店等)、路线计算等。位置信息可提供至诸如中央设施12的远程计算机系统,以用于其它目的,例如车队管理。
[0036]除了音频系统36和GPS模块40之外,车辆12可包括呈电子硬件部件形式的一个或多个EOT 18,这些部件位于车辆各处且通常接收来自一个或多个传感器的输入并且使用感测到的输入来执行诊断、监测、控制、报告和/或其它功能。ECU 18中的每一个优选地由通信总线44连接到其它VSM,并连接到远程信息处理单元30,并且可被编程以运行车辆系统和子系统诊断测试。作为示例,一种ECU 18可以是发动机控制模块(ECM),其控制发动机操作的各个方面例如燃料点火和点火正时;另一种ECU 18可以是动力系控制模块,其调控车辆动力系的一个或多个部件的操作;并且另一种ECU 18可以是车身控制模块,其管控位于车辆各处的各种电气部件,例如车辆的动力门锁和大灯。根据一个实施例,发动机控制模块配有车载诊断(0BD)特征,其提供大量的实时数据,例如接收自包括车辆排放物传感器的各种传感器的数据,并且提供一系列标准化的诊断故障码(DTC),诊断故障码允许技师迅速识别和纠正车辆内的故障。本领域的技术人员应理解,上述ECU仅仅是可在车辆12中使用的模块中的一些的示例,因为许多其它模块也是可能的。
[0037]车辆电子器件28也包括多个车辆用户接口,其为车辆的乘员提供了一种提供和/或接收信息的装置,包括麦克风32、(多个)按钮34、音频系统36和视觉显示器38。如本文所用,术语“车辆用户接口 ”广义地包括任何合适形式的电子装置,包括硬件组件和软件组件两者,其位于车辆上并且允许车辆用户与车辆的部件或通过该部件通信。麦克风32将音频输入提供给远程信息处理单元,以使得驾驶员或其他乘员能够提供语音命令并经由无线载波系统14进行免提呼叫。为此,它可以利用本领域已知的人机接口(HMI)技术连接到板载自动化语音处理单元。(多个)按钮34允许向远程信息处理单元30内的人工用户输入,以引发无线电话呼叫并且提供其它数据、响应或控制输入。单独的按钮可用于引发紧急呼叫与常规服务援助呼叫。音频系统36将音频输出提供给车辆乘员,并可以是专用的、独立系统或者是主要车辆音频系统的一部分。根据此处示出的特定实施例,音频系统36操作性地联接到车辆总线44和娱乐总线46两者,并可提供AM、FM和卫星无线电、⑶、DVD和其它多媒体功能。该功能可结合上文所述信息娱乐模块或独立于信息娱乐模块提供。视觉显示器38优选地为图形显示器,例如在仪表盘上的触摸屏或挡风玻璃反射出的平视显示器,并且可用来提供大量的输入和输出功能。也可利用各种其它车辆用户接口,因为图1的接口仅仅是一个特定实施的示例。
[0038]车辆诊断或扫描工具24可经由总线44与车辆12通信地链接,并与一个或多个ECU 18交互,从而针对车辆操作和/或问题收集数据和/或进行诊断测试。车辆诊断工具24可包括板载诊断(0BD) II工具并以多种方式实现,例如,GM Tech-2装置、GM多重诊断接口(MDI)、通用SAE J2534装置或类似装置。车辆诊断工具24可包括一个或多个通信端口,以用于经由有线或无线连接传输数据。或者在另一个实施中,车辆诊断工具24可包括无线通信硬件,其为工具24提供了向中央设施12无线地通信信息的能力。无线通信可经由蜂窝无线连接或经由短程无线通信技术(例如,使用短程无线天线和W1-Fi热点)来实现。例如,车辆诊断工具24可包括RS232端口,其用于将工具24经由线材通信地链接到车辆22上的0BD II连接器,0BD II连接器可用来经由通信总线44在工具24和一个或多个EOT 18之间发送和接收数据。此外,车辆诊断工具24可在工具24和中央设施12之间无线地通信数据或信息。
[0039]现在转到图2,示出了一种用于控制对电子控制单元(ECU)的访问的方法200。方法200通过生成用于创建供应商加密密钥的主加密密钥而始于步骤210。主加密密钥可使用多种密码学技术生成。例如,计算机的处理器可将数据输入到密钥分发函数或密钥生成算法,然后作为结果而生成主加密密钥。在其一个示例中,伪随机函数或密码学散列函数可作为输入接收熵数据,然后输出具有规定位长度的主加密密钥。熵数据可使用位于中央设施12处的伪随机数生成器来生成。主加密密钥的一种可能实施可具有128位的长度。备选地,主加密密钥可具有远大于128位的位长度,前提是主加密密钥可以作为机密加密密钥集中存储。方法200继续到步骤220。
[0040]在步骤220中,使用主加密密钥和供应商识别符导出供应商加密密钥。可为ECU的每个供应商或制造商创建唯一的供应商识别符。然后,可基于供应商识别符的密码学操纵为ECU的每个供应商/制造商创建供应商加密密钥,所述供应商识别符分配给接收供应商加密密钥的供应商或制造商。术语“供应商”和“制造商”在本文中可以可互换地使用,并且两者可理解为表示制造或销售EOT的组织。中央设施12可识别多个EOT供应商,这些供应商为车辆中的安装提供ECU。对于每个ECU供应商来说,中央设施12可赋予或分配可表示供应商识别符的值。该值可以是用于识别特定的ECU供应商的随机或顺序的数字串。在为每个ECU供应商分配其自己的供应商识别符之后,密钥生成算法可使用主加密密钥和供应商识别符来为每个供应商生成唯一的供应商加密密钥。然后,可将供应商加密密钥经由通信网络16提供至EOT供应商计算机14。方法200继续到步骤230。[0041 ] 在步骤230中,发出EOT识别符,其唯一地识别EOT 18并包括供应商识别符。在制造EOT的过程期间,EOT供应商可使用唯一的EOT识别符来识别每个EOT。随着组装或制造继续,可使用ECU识别符来区分由特定的ECU供应商生产的每个ECU与供应商生产的其它EOT。EOT识别符可存储在与该识别符相关联的EOT的存储器部分中。可能的是,EOT识别符可以是在ECU 18被制造时与ECU 18相关联的序列号。然而,由特定的ECU供应商发出或分配的每个ECU识别符的一部分可包括制造ECU的供应商的供应商识别符,如上文结合步骤220所讨论的。在这个意义上,每个ECU识别符是唯一的,但共用公共的供应商识别符,该供应商识别符指示制造ECU的ECU供应商的身份。步骤230可使用供应商计算机14实现上述或其它类似的计算机资源。方法200继续到步骤240。
[0042]在步骤240中,使用供应商加密密钥和EOT识别符为EOT 18生成EOT解锁授权密钥。一旦EOT供应商已将EOT识别符分配至EOT,例如EOT 18,EOT供应商就可利用密钥生成算法使用供应商加密密钥和ECU识别符并使用供应商计算机14来创建ECU解锁授权密钥。然后,可将ECU解锁授权密钥与ECU 18的ECU识别符一起存储在ECU 18的存储器部分中。在另一个实施中,也可使用供应商计算机14创建第二 ECU解锁授权密钥。可用多个解锁授权密钥对ECU编码,以便提供对ECU的不同等级的访问。当要在ECU 18中存储两个或更多个授权密钥时,密钥生成算法可使用ECU识别符和供应商密钥来输出第一 ECU解锁授权密钥和第二解锁授权密钥。然后,供应商计算机14可对ECU 18编程,从而为第一 ECU解锁授权密钥和第二 ECU解锁授权密钥提供不同等级的访问。然后,可将第一和第二 ECU解锁授权密钥两者存储在EOT 18中。在EOT 18已被编程使得其E⑶识别符和至少一个EOT解锁授权密钥被存储在ECU 18中之后,可接着将ECU 18安装在车辆22中。方法200继续到步骤250。
[0043]在步骤250中,在具有对主加密密钥的访问入口的中央设施12处接收已从EOT 18访问的ECU识别符。在ECU 18已被安装到车辆22中之后,经授权的个人(例如车辆经销商维修部雇佣的人)可能出于多种原因而希望访问ECU 18 ;诊断服务或提供软件更新是这些原因中的两个例子。通过将车辆诊断工具24附接到车辆22的0BD II连接器并且获得EOT 18的EOT识别符,经授权的个人可访问车辆22的EOT 18。除了 EOT识别符之外,车辆诊断工具24也可获得由EOT 18生成的随机值或“暗号”(challenge)。然后,车辆诊断工具24可将EOT识别符和暗号传输至中央设施12。虽然图1描绘了将EOT识别符和暗号经由通信网络16无线地传输至中央设施12的车辆诊断工具24,但应当理解,在位于车辆22中的ECU 18和中央设施12之间的通信路径可以多种方式建立,所述方式可能包括或不包括车辆诊断工具24。此外,可以使用不同的技术来确定个人是否被授权访问ECU。例如,仅当个人享有由中央设施12提供的预订服务(例如,远程信息预订服务)时,才可以认为此人被授权。或者在另一个示例中,个人可通过最终提供至中央设施12的口令或密码而被授权。其它实施对于本领域的技术人员将显而易见。
[0044]—旦中央设施12接收了 EOT 18的EOT识别符和暗号,中央设施12可读取EOT识别符并将其与包括在ECU识别符中的供应商识别符分离。中央设施由此可知道制造ECU的EOT供应商的身份。方法200继续到步骤260。
[0045]在步骤260中,使用主加密密钥从供应商识别符重新创建供应商加密密钥,并且使用供应商加密密钥和ECU识别符生成ECU解锁授权密钥。一旦中央设施12识别了 ECU18的供应商,设施12就可引发密钥生成算法,该算法使用供应商识别符和主加密密钥来重新创建供应商加密密钥。然后,利用ECU 18的ECU识别符,中央设施12可使用供应商加密密钥将ECU识别符输入到密钥生成算法中,以重新创建存储在ECU 18中的ECU解锁授权密钥。利用重新创建的ECU解锁授权密钥,中央设施12可将其接收的随机值或暗号与重新创建的ECU解锁授权密钥一起输入到密钥生成算法中,并且生成将发送给经授权的个人的唯一值,该唯一值将在本文中称为暗号响应。然后,中央设施12可将暗号响应通信给经授权的个人(在该实施中,经由车辆诊断工具24),经授权的个人可接着使用暗号响应来访问EOT 18。车辆诊断工具24可将暗号响应通信至EOT 18。EOT 18可将暗号输入到存储在EOT18的存储器部分中的解锁加密密钥中。如果来自存储的加密密钥的输出与暗号响应相同,经授权的个人可访问ECU 18的功能方面;否则,个人可能被拒绝访问ECU 18。方法200接着结束。
[0046]应当理解,上述内容是对本发明的一个或多个实施例的描述。本发明不限于本文所公开的(多个)特定实施例,而是仅由下面的权利要求限定。而且,包含在以上描述中的陈述与特定实施例有关且不应理解为限制本发明的范围或权利要求中使用的术语的定义,除非上文明确地定义了术语或短语。各种其它实施例和对本文所公开的(多个)实施例的各种变化和修改对于本领域的技术人员将变得显而易见。所有这样的其它实施例、变化和修改均意图落在所附权利要求的范围内。
[0047]如在本说明书和权利要求中所用,术语“如”、“例如”、“比如”、“诸如”和“好像”以及动词“包括”、“具有”、“含有”和它们的其它动词形式,当与一个或多个部件或其它项目的罗列结合使用时,各自应理解为开放式的,这意味着该罗列不应看作是排除其它、额外的部件或项目。其它术语将使用其最广义的合理含义来理解,除非它们在要求不同解释的背景上使用。
【主权项】
1.一种控制对电子控制单元(ECU)的访问的方法,包括以下步骤: (a)在ECU供应商计算机处接收使用供应商识别符从主加密密钥导出的供应商加密密钥,所述供应商识别符识别ECU供应商; (b)发出ECU识别符,所述ECU识别符识别ECU并且包括所述供应商识别符; (c)使用所述供应商加密密钥和所述ECU识别符为所述ECU生成ECU解锁授权密钥;以及 (d)将所述ECU解锁授权密钥和所述ECU识别符存储在所述ECU中。2.根据权利要求1所述的方法,还包括使用所述供应商加密密钥和所述ECU识别符生成多个ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。3.根据权利要求1所述的方法,其中,所述供应商加密密钥从具有对于所述主加密密钥的访问入口的中央设施处传达。4.根据权利要求1所述的方法,还包括在中央设施处将所述供应商识别符分配给所述E⑶供应商的步骤。5.根据权利要求1所述的方法,还包括将所述ECU安装在车辆中的步骤。6.根据权利要求1所述的方法,还包括以下步骤:从所述ECU访问所述ECU识别符;识别所述供应商识别符与所述ECU识别符;使用所述主加密密钥将所述供应商识别符输入到密钥生成算法中;以及重新创建所述供应商加密密钥。7.根据权利要求6所述的方法,还包括使用所述供应商加密密钥将所述ECU识别符输入到密钥生成算法中并且重新创建所述ECU解锁授权密钥的步骤。8.—种控制对电子控制单元(ECU)的访问的方法,包括以下步骤: (a)在具有对于主加密密钥的访问入口的中央设施处接收已从ECU访问到的ECU识别符; (b)分离包括在所述ECU识别符中的供应商识别符; (c)使用所述主加密密钥从所述供应商识别符重新创建供应商加密密钥;以及 (d)使用所述供应商加密密钥和所述ECU识别符生成ECU解锁授权密钥。9.根据权利要求8所述的方法,还包括使用所述供应商加密密钥和所述ECU识别符生成第二 ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。10.—种控制对电子控制单元(ECU)的访问的方法,包括以下步骤: (a)生成主加密密钥以用于创建供应商加密密钥; (b)使用所述主加密密钥和供应商识别符生成供应商加密密钥; (c)将所述供应商加密密钥提供至ECU供应商计算机; (d)发出ECU识别符,所述ECU识别符唯一地识别ECU并且包括所述供应商识别符; (e)使用所述供应商加密密钥和所述ECU识别符为所述ECU生成ECU解锁授权密钥; (f)将所述ECU解锁授权密钥和所述ECU识别符存储在所述ECU中; (g)在具有对于所述主加密密钥的访问入口的中央设施处接收已从所述ECU访问的所述ECU识别符; (h)分离包括在所述ECU识别符中的所述供应商识别符;(i)使用所述主加密密钥从所述供应商识别符重新创建所述供应商加密密钥;以及(j)使用所述供应商加密密钥和所述ECU识别符生成所述ECU解锁授权密钥。
【专利摘要】控制对电子控制单元(ECU)的访问的系统和方法包括:在ECU供应商计算机处接收使用供应商识别符从主加密密钥导出的供应商加密密钥,所述供应商识别符识别ECU供应商;发出ECU识别符,所述ECU识别符识别ECU并包括供应商识别符;使用供应商加密密钥和ECU识别符为ECU生成ECU解锁授权密钥;以及将ECU解锁授权密钥和ECU识别符存储在ECU中。
【IPC分类】H04L9/08
【公开号】CN105490803
【申请号】CN201510638815
【发明人】D.W.拉克利夫特, D.M.奈尔恩, T.M.富里斯特
【申请人】通用汽车环球科技运作有限责任公司
【公开日】2016年4月13日
【申请日】2015年9月30日
【公告号】DE102015116445A1, US20160099806
【技术领域】
[0001]本发明涉及电子控制单元(ECU),更具体地涉及使用密码密钥系统来控制对ECU的访问。
【背景技术】
[0002]许多车辆和其它装置包括管控多种任务的电子控制单元(EOT)。EOT可编程为执行计算机可读指令并且基于这些指令来控制机械和/或电气装置。例如,动力系控制模块(PCM)可充当车辆的动力系的中央决策管理机构,并且采取实现该目的的ECU的形式。多个车辆发动机参数可由PCM控制,例如,内燃发动机(ICE)的点火正时或排气再循环(EGR)阀等。
[0003]车辆或装置的制造商可能希望调控对ECU的指令或其它操作方面的访问。使用上述PCM的示例,车辆制造商可能希望将对ECU的指令和其它特征的访问限制到授权个体。为此,机密的密码密钥可用来在其被制造时创建用于每个ECU的唯一的解锁密钥。ECU的制造商可接着将解锁密钥存储在中央数据库中。然而,这样的系统可能是有问题的。考虑到制造的ECU的体积,维护包括所有ECU解锁密钥的数据库会消耗显著量的计算空间和资源。考虑到ECU可能不是由单个制造商,而是由多个不同的制造商制造,创建这样的数据库可能是复杂而困难的。此外,如果包括在数据库中的数据变得被损坏,则不可以访问许多(如果不是全部的话)在数据库中识别的ECU。有益的是,控制对ECU的访问而不依靠中央数据库来识别解锁密钥。
【发明内容】
[0004]根据本发明的一个实施例,提供了一种控制对电子控制单元(ECU)的访问的方法。该方法包括:在ECU供应商计算机处接收使用供应商识别符从主加密密钥导出的供应商加密密钥,所述供应商识别符识别ECU供应商;发出ECU识别符,所述ECU识别符识别ECU并包括供应商识别符;使用供应商加密密钥和ECU识别符为ECU生成ECU解锁授权密钥;以及将ECU解锁授权密钥和ECU识别符存储在ECU中。
[0005]根据本发明的另一个实施例,提供了一种控制对电子控制单元(ECU)的访问的方法。该方法包括:在具有对主加密密钥的访问入口的中央设施处接收已从ECU访问到的ECU识别符;分离包括在ECU识别符中的供应商识别符;使用主加密密钥从供应商识别符重新创建供应商加密密钥;以及使用供应商加密密钥和ECU识别符生成ECU解锁授权密钥。
[0006]根据本发明的又一个实施例,提供了一种控制对电子控制单元(ECU)的访问的方法。该方法包括:生成用于创建供应商加密密钥的主加密密钥;使用主加密密钥和供应商识别符生成供应商加密密钥;将供应商加密密钥提供至ECU供应商计算机;发出ECU识别符,所述ECU识别符唯一地识别ECU并包括供应商识别符;使用供应商加密密钥和ECU识别符为ECU生成ECU解锁授权密钥;将ECU解锁授权密钥和ECU识别符存储在ECU中;在具有对主加密密钥的访问入口的中央设施处接收已从ECU访问到的ECU识别符;分离包括在ECU识别符中的供应商识别符;使用主加密密钥从供应商识别符重新创建供应商加密密钥;以及使用供应商加密密钥和ECU识别符生成ECU解锁授权密钥。
[0007]本发明还包括如下方案:
1.一种控制对电子控制单元(ECU)的访问的方法,包括以下步骤:
(a)在ECU供应商计算机处接收使用供应商识别符从主加密密钥导出的供应商加密密钥,所述供应商识别符识别ECU供应商;
(b)发出ECU识别符,所述ECU识别符识别ECU并且包括所述供应商识别符;
(c)使用所述供应商加密密钥和所述ECU识别符为所述ECU生成ECU解锁授权密钥;
以及
(d)将所述ECU解锁授权密钥和所述ECU识别符存储在所述ECU中。
[0008]2.根据方案1所述的方法,还包括使用所述供应商加密密钥和所述EOT识别符生成多个ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。
[0009]3.根据方案1所述的方法,其中,所述供应商加密密钥从具有对于所述主加密密钥的访问入口的中央设施处传达。
[0010]4.根据方案1所述的方法,还包括在中央设施处将所述供应商识别符分配给所述ECU供应商的步骤。
[0011]5.根据方案1所述的方法,还包括将所述EOT安装在车辆中的步骤。
[0012]6.根据方案1所述的方法,还包括以下步骤:从所述E⑶访问所述E⑶识别符;识别所述供应商识别符与所述ECU识别符;使用所述主加密密钥将所述供应商识别符输入到密钥生成算法中;以及重新创建所述供应商加密密钥。
[0013]7.根据方案6所述的方法,还包括使用所述供应商加密密钥将所述EOT识别符输入到密钥生成算法中并且重新创建所述ECU解锁授权密钥的步骤。
[0014]8.一种控制对电子控制单元(EOT)的访问的方法,包括以下步骤:
(a)在具有对于主加密密钥的访问入口的中央设施处接收已从ECU访问到的ECU识别符;
(b)分离包括在所述ECU识别符中的供应商识别符;
(c)使用所述主加密密钥从所述供应商识别符重新创建供应商加密密钥;以及
(d)使用所述供应商加密密钥和所述ECU识别符生成ECU解锁授权密钥。
[0015]9.根据方案8所述的方法,还包括使用所述供应商加密密钥和所述EOT识别符生成第二 ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。
[0016]10.根据方案8所述的方法,其中,所述EOT识别符从车辆诊断工具处传达。
[0017]11.根据方案8所述的方法,其中,所述E⑶安装在车辆中。
[0018]12.一种控制对电子控制单元(ECU)的访问的方法,包括以下步骤:
(a)生成主加密密钥以用于创建供应商加密密钥;
(b)使用所述主加密密钥和供应商识别符生成供应商加密密钥;
(c)将所述供应商加密密钥提供至ECU供应商计算机;
(d)发出ECU识别符,所述ECU识别符唯一地识别ECU并且包括所述供应商识别符; (e)使用所述供应商加密密钥和所述ECU识别符为所述ECU生成ECU解锁授权密钥;
(f)将所述ECU解锁授权密钥和所述ECU识别符存储在所述ECU中;
(g)在具有对于所述主加密密钥的访问入口的中央设施处接收已从所述ECU访问的所述ECU识别符;
(h)分离包括在所述ECU识别符中的所述供应商识别符;
(i)使用所述主加密密钥从所述供应商识别符重新创建所述供应商加密密钥;以及 (j)使用所述供应商加密密钥和所述ECU识别符生成所述ECU解锁授权密钥。
[0019]13.根据方案12所述的方法,还包括使用所述供应商加密密钥和所述E⑶识别符生成多个ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。
[0020]14.根据方案12所述的方法,还包括在中央设施处将所述供应商识别符分配给所述ECU供应商的步骤。
[0021]15.根据方案12所述的方法,还包括将所述EOT安装在车辆中的步骤。
【附图说明】
[0022]下面将结合附图描述描述本发明的一个或多个实施例,在附图中,相同的标号代表相同的元件,并且其中:
图1是描绘能够利用本文所公开的方法的通信系统的实施例的框图;以及图2是控制对电子控制单元(ECU)的访问的方法的流程图的框图。
【具体实施方式】
[0023]以下描述的系统和方法通过使用机密的主加密密钥来控制对电子控制单元(ECU)的访问,该主加密密钥通过以密码学方式操纵分配给每个ECU供应商的供应商识别符而为ECU的每个供应商或制造商生成唯一的供应商加密密钥。每个供应商加密密钥可被提供至具体的ECU供应商,该供应商可以用ECU识别符和唯一的ECU解锁授权密钥对其制造的每个EOT加密。对于所制造的每个EOT来说,EOT供应商可生成这样的EOT识别符:其不仅唯一地识别E⑶,而且包括供应商识别符。可使用供应商加密密钥和密钥生成算法来处理EOT识别符,使得ECU识别符被以密码学方式操纵,以创建将与ECU识别符一起存储在ECU中的E⑶解锁授权密钥。
[0024]在特定的ECU被制造或安装在车辆中之后,授权个 体可能想要访问该ECU。为了允许这样的访问,授权个体可联系中央设施,该中央设施具有对于生成供应商加密密钥的主加密密钥的访问入口。可将待访问的ECU的ECU识别符提供给中央设施,并可将供应商识别符与ECU识别符分离。中央设施可使用主加密密钥将待访问的ECU的供应商识别符馈入到密钥生成算法中,以便为待访问的ECU重新创建供应商加密密钥。然后,可使用重新创建的供应商加密密钥将ECU识别符输入到密钥生成算法以生成ECU解锁授权密钥的副本。对ECU的访问可通过使用ECU解锁授权密钥的副本来实现。代替维护将所制造的每个ECU与其对应的密钥包括在一起的数据库,可根据需要使用多层加密密钥系统重新创建具体的ECU解锁授权密钥,该加密密钥系统涉及主加密密钥,主加密密钥可被调用以重新创建唯一的供应商加密密钥。供应商加密密钥接着可重新创建特定的ECU解锁授权密钥。
[0025]参照图1,示出了系统10,其可用来实现下文所述控制对电子控制单元(EOT)的访问的方法。系统10大体包括中央设施12,中央设施12存储主加密密钥或通常具有对于主加密密钥的访问入口。中央设施12可经由通信网络16连接到EOT供应商计算机14。作为生产ECU或对ECU编程的一部分,供应商计算机14可使用利用主加密密钥创建的供应商加密密钥。供应商计算机14可与EOT 18通信地链接,使得计算机14可经由通信链路20将编程提供给EOT 18,该编程包括一个或多个EOT解锁授权密钥和EOT识别符。一旦完成编程,就可将ECU 18安装在车辆22中。在安装之后,授权用户可以使用诸如车辆诊断工具24的装置来尝试访问ECU 18。授权用户可将车辆诊断工具24与车辆22通信地链接,并且车辆诊断工具24也可与中央设施12无线地通信。应当理解,所公开的方法可与许多不同的系统一起使用,并且不具体地局限于此处所示操作环境。另外,系统10及其各个部件的架构、构造、设置和操作是本领域通常已知的。因此,以下段落只是提供一种这样的计算系统10的简要概述;然而,此处未示出的其它系统也可采用所公开的方法。
[0026]中央设施12可包括一个或多个计算机,所述计算机可经由通信网络16从远程位置访问。中央设施12可充当主加密密钥的储存库并接受来自尝试生成供应商加密密钥和/或ECU解锁授权密钥的授权用户的查询。作为在中央设施12处使用的计算资源或计算机的一部分,中央设施12可包括计算机可读存储器装置,其不仅存储主加密密钥,而且存储一个或多个供应商识别符,每个供应商识别符唯一地识别ECU的特定供应商或制造商。中央设施12也可以从远程位置访问主加密密钥。
[0027]ECU供应商计算机14可以是诸如个人计算机(PC)的计算装置,其由供应/制造ECU的组织或维护ECU的个人操作。供应商计算机14大体包括一个或多个微处理器、存储装置、外围装置和调制解调器形式的硬件。典型的供应商计算机14可接收来自诸如键盘和鼠标的外围装置的输入,并且经由诸如监视器的其它外围装置来输出信息。在该布置中,常见的是,供应商计算机14在桌面或其它类似的位置保持静止。然而,也可以将供应商计算机14实现为具有许多(如果不是所有的话)以上讨论的元件的便携式装置,例如,膝上型计算机或手持计算机(未示出)。供应商计算机14的微处理器可包括中央处理单元(CPU),其执行计算机可读代码形式的软件或软件指令。软件可存储在存储装置中,该存储装置可以是本领域已知的任何类型的非易失性存储器。在CPU和其它硬件元件之间的通信可以在总线上实现,如使用印刷电路板(PCB)可实现那样。在一个实施中,通过使用存储在供应商计算机14的存储装置中的供应商加密密钥将包括供应商识别符的ECU识别符馈入或输入密钥生成算法,供应商计算机14可使用CPU来访问创建加密密钥的软件。加密密钥可使用下文更详细讨论的密钥生成算法来创建。此外,ECU供应商计算机14可实现不同的硬件和/或软件解决方案,该解决方案有助于保护供应商加密密钥的机密性。在一些实施中,ECU供应商计算机14可与硬件安全模块一起使用,该模块可实现安全处理器以保护供应商加密密钥,如本领域的技术人员所知道那样。
[0028]通信系统16可包括陆基通信系统的元件和无线通信系统的元件。在一个实施中,通信系统16包括蜂窝电话系统,其包括多个蜂窝塔、一个或多个移动交换中心(MSC)、以及将无线通信系统与陆地网络连接所需的任何其它联网部件。每个蜂窝塔包括发送和接收天线及基站,其中来自不同蜂窝塔的基站直接地或经由诸如基站控制器的中间设备连接到MSCo蜂窝系统可实现任何合适的通信技术,包括例如诸如AMPS的模拟技术或诸如CDMA (如CDMA2000)、GSM/GPRS或4G LTE的较新的数字技术。本领域的技术人员可以理解,各种蜂窝塔/基站/MSC布置是可能的,并可用来实现通信系统16的无线能力。例如,基站和蜂窝塔可共同位于同一地点,或者它们可以彼此远离,每个基站可以负责单个蜂窝塔,或者单个基站可服务于各种蜂窝塔,并且各种基站可联接到单个MSC,以上仅列举出几种可能的布置。
[0029]通信系统16的陆地网络部分可以是连接到一个或多个固定电话的常规陆基通信网络。例如,陆地网络可包括公共交换电话网(PSTN),例如用来提供硬连线电话、包交换的数据通信和因特网基础结构的公共交换电话网。陆地网络16的一个或多个区段可通过使用标准有线网络、光纤或其它光网络、电缆网络、电力线、诸如无线局域网(WLAN)的其它无线网络或提供宽带无线接入(BWA)的网络或者它们的任何组合来实现。
[0030]EOT 18可经由通信链路20通信地链接到供应商计算机14。EOT是可包括多种硬件元件的装置,所述硬件元件为例如微处理器、一个或多个存储装置、输入/输出元件、链接这些硬件元件的通信总线、以及基本上包围该硬件的外壳。EOT 18可在微处理器、(多个)存储装置或两者中在ECU 18存储软件指令以及可用来调控对ECU 18或其功能的访问的加密密钥。通信链路20可以是有线数据连接,例如,通用串行总线(USB)连接或已知的其它类似的数据电缆协议。在一个实施中,供应商计算机14经由数据电缆连接,该数据电缆在每个端部处具有诸如通用串行总线(USB)连接器的连接器,并且在供应商计算机14和EOT 18之间双向载送数据。然而,在其它应用中,EOT 18可将通信链路20实现为天线(未示出),其可用来与供应商计算机14无线地通信。
[0031]—旦由供应商计算机14编程,EOT 18就可安装在车辆22中。车辆22在图示实施例中描绘为乘用车,但应当理解,也可使用任何其它车辆,包括摩托车、卡车、运动型多功能车(SUV)、休闲车(RV)、航海船舶、飞行器等。车辆电子器件28中的一些大体上在图1中示出并且包括远程信息处理单元30、麦克风32、一个或多个按钮或其它控制输入装置34、音频系统36、可视显示器38和GPS模块40。这些装置中的一些可直接连接到诸如麦克风32和(多个)按钮34的远程信息处理单元,而另一些使用诸如通信总线44或娱乐总线46的一个或多个网络连接间接地连接。合适的网络连接的示例包括控制器局域网(CAN)、媒体导向系统传输(MOST)、局部互连网络(LIN)、局域网(LAN)、以及诸如以太网的其它合适的连接,或其它符合已知的ISO、SAE和IEEE标准和规范的连接,这里只列出一些。
[0032]远程信息处理单元30可以是OEM安装(嵌入)的或市场采购的装置,其安装在车辆中并且能够通过无线载波系统14并经由无线联网进行无线语音和/或数据通信。这使车辆能够与其它能够远程通信的车辆或某些其它实体或装置进行通信。远程信息处理单元优选地使用无线电传输来与无线载波系统14建立通信信道(语音信道和/或数据信道),从而使语音和/或数据传输可通过所述信道发送和接收。通过提供语音和数据通信,远程信息处理单元30使车辆能够提供包括与导航、电话服务、紧急援助、诊断、信息娱乐等有关的那些的多种不同服务。数据可以经由数据连接来发送,例如,经由通过数据信道的分组数据传输或者经由语音信道使用本领域中的公知技术。对于涉及语音通信和数据通信两者的组合服务,所述系统可利用通过语音信道的单次呼叫并且根据需要通过语音信道在语音与数据传输之间切换,并且这可以使用本领域技术人员公知的技术来完成。
[0033]根据一个实施例,远程信息处理单元30利用根据GSM或CDMA标准的蜂窝通信,并且因此包括用于如免提呼叫的语音通信的标准蜂窝芯片组50、用于数据传输的无线调制解调器、电子处理装置52、一个或多个数字存储装置54、以及双天线 56。应当理解,调制解调器可通过存储在远程信息处理单元中并由处理器52执行的软件来实现,或者它可以是位于远程信息处理单元30内部或外部的单独的硬件部件。调制解调器可使用诸如EVDO、CDMA、GPRS和EDGE的许多不同的标准或协议操作。在车辆和其它联网装置之间的无线联网也可使用远程信息处理单元30进行。为此,远程信息处理单元30可配置成根据一种或多种无线协议(例如,IEEE 802.11协议、WiMAX或蓝牙中的任一种)无线地通信。当用于诸如TCP/IP的分组切换的数据通信时,远程信息处理单元可被配置成具有静态IP地址或可设置成从网络上的另一个装置(例如路由器)或从网络地址服务器自动地接收所分配的IP地址。
[0034]处理器52可以是能够处理电子指令的任何类型的装置,包括微处理器、微控制器、主机处理器、控制器、车辆通信处理器、电子控制单元(E⑶)、以及专用集成电路(ASIC)。它可以是仅用于远程信息处理单元30的专用处理器,或者可与其它车辆系统共享。处理器52执行各种类型的数字存储指令,例如,存储在存储器54中的软件或固件程序,其使得远程信息处理单元能够提供各种各样的服务。例如,处理器52可执行程序或处理数据以执行本文所讨论的方法的至少一部分。
[0035]GPS模块40从GPS卫星的群集60接收无线电信号。模块40可从这些信号确定车辆位置,该位置用于为车辆驾驶员提供导航和其它位置相关的服务。导航信息可呈现在显示器38 (或车辆内的其它显示器)上,或者可以以语音方式呈现,例如在提供转弯路口导航时所进行那样。导航服务可使用专用的车辆内导航模块(其可以是GPS模块40的一部分)提供,或者一些或全部导航服务可经由远程信息处理单元30完成,其中,位置信息被发送至远程位置以便为车辆提供导航地图、地图注记(感兴趣点、饭店等)、路线计算等。位置信息可提供至诸如中央设施12的远程计算机系统,以用于其它目的,例如车队管理。
[0036]除了音频系统36和GPS模块40之外,车辆12可包括呈电子硬件部件形式的一个或多个EOT 18,这些部件位于车辆各处且通常接收来自一个或多个传感器的输入并且使用感测到的输入来执行诊断、监测、控制、报告和/或其它功能。ECU 18中的每一个优选地由通信总线44连接到其它VSM,并连接到远程信息处理单元30,并且可被编程以运行车辆系统和子系统诊断测试。作为示例,一种ECU 18可以是发动机控制模块(ECM),其控制发动机操作的各个方面例如燃料点火和点火正时;另一种ECU 18可以是动力系控制模块,其调控车辆动力系的一个或多个部件的操作;并且另一种ECU 18可以是车身控制模块,其管控位于车辆各处的各种电气部件,例如车辆的动力门锁和大灯。根据一个实施例,发动机控制模块配有车载诊断(0BD)特征,其提供大量的实时数据,例如接收自包括车辆排放物传感器的各种传感器的数据,并且提供一系列标准化的诊断故障码(DTC),诊断故障码允许技师迅速识别和纠正车辆内的故障。本领域的技术人员应理解,上述ECU仅仅是可在车辆12中使用的模块中的一些的示例,因为许多其它模块也是可能的。
[0037]车辆电子器件28也包括多个车辆用户接口,其为车辆的乘员提供了一种提供和/或接收信息的装置,包括麦克风32、(多个)按钮34、音频系统36和视觉显示器38。如本文所用,术语“车辆用户接口 ”广义地包括任何合适形式的电子装置,包括硬件组件和软件组件两者,其位于车辆上并且允许车辆用户与车辆的部件或通过该部件通信。麦克风32将音频输入提供给远程信息处理单元,以使得驾驶员或其他乘员能够提供语音命令并经由无线载波系统14进行免提呼叫。为此,它可以利用本领域已知的人机接口(HMI)技术连接到板载自动化语音处理单元。(多个)按钮34允许向远程信息处理单元30内的人工用户输入,以引发无线电话呼叫并且提供其它数据、响应或控制输入。单独的按钮可用于引发紧急呼叫与常规服务援助呼叫。音频系统36将音频输出提供给车辆乘员,并可以是专用的、独立系统或者是主要车辆音频系统的一部分。根据此处示出的特定实施例,音频系统36操作性地联接到车辆总线44和娱乐总线46两者,并可提供AM、FM和卫星无线电、⑶、DVD和其它多媒体功能。该功能可结合上文所述信息娱乐模块或独立于信息娱乐模块提供。视觉显示器38优选地为图形显示器,例如在仪表盘上的触摸屏或挡风玻璃反射出的平视显示器,并且可用来提供大量的输入和输出功能。也可利用各种其它车辆用户接口,因为图1的接口仅仅是一个特定实施的示例。
[0038]车辆诊断或扫描工具24可经由总线44与车辆12通信地链接,并与一个或多个ECU 18交互,从而针对车辆操作和/或问题收集数据和/或进行诊断测试。车辆诊断工具24可包括板载诊断(0BD) II工具并以多种方式实现,例如,GM Tech-2装置、GM多重诊断接口(MDI)、通用SAE J2534装置或类似装置。车辆诊断工具24可包括一个或多个通信端口,以用于经由有线或无线连接传输数据。或者在另一个实施中,车辆诊断工具24可包括无线通信硬件,其为工具24提供了向中央设施12无线地通信信息的能力。无线通信可经由蜂窝无线连接或经由短程无线通信技术(例如,使用短程无线天线和W1-Fi热点)来实现。例如,车辆诊断工具24可包括RS232端口,其用于将工具24经由线材通信地链接到车辆22上的0BD II连接器,0BD II连接器可用来经由通信总线44在工具24和一个或多个EOT 18之间发送和接收数据。此外,车辆诊断工具24可在工具24和中央设施12之间无线地通信数据或信息。
[0039]现在转到图2,示出了一种用于控制对电子控制单元(ECU)的访问的方法200。方法200通过生成用于创建供应商加密密钥的主加密密钥而始于步骤210。主加密密钥可使用多种密码学技术生成。例如,计算机的处理器可将数据输入到密钥分发函数或密钥生成算法,然后作为结果而生成主加密密钥。在其一个示例中,伪随机函数或密码学散列函数可作为输入接收熵数据,然后输出具有规定位长度的主加密密钥。熵数据可使用位于中央设施12处的伪随机数生成器来生成。主加密密钥的一种可能实施可具有128位的长度。备选地,主加密密钥可具有远大于128位的位长度,前提是主加密密钥可以作为机密加密密钥集中存储。方法200继续到步骤220。
[0040]在步骤220中,使用主加密密钥和供应商识别符导出供应商加密密钥。可为ECU的每个供应商或制造商创建唯一的供应商识别符。然后,可基于供应商识别符的密码学操纵为ECU的每个供应商/制造商创建供应商加密密钥,所述供应商识别符分配给接收供应商加密密钥的供应商或制造商。术语“供应商”和“制造商”在本文中可以可互换地使用,并且两者可理解为表示制造或销售EOT的组织。中央设施12可识别多个EOT供应商,这些供应商为车辆中的安装提供ECU。对于每个ECU供应商来说,中央设施12可赋予或分配可表示供应商识别符的值。该值可以是用于识别特定的ECU供应商的随机或顺序的数字串。在为每个ECU供应商分配其自己的供应商识别符之后,密钥生成算法可使用主加密密钥和供应商识别符来为每个供应商生成唯一的供应商加密密钥。然后,可将供应商加密密钥经由通信网络16提供至EOT供应商计算机14。方法200继续到步骤230。[0041 ] 在步骤230中,发出EOT识别符,其唯一地识别EOT 18并包括供应商识别符。在制造EOT的过程期间,EOT供应商可使用唯一的EOT识别符来识别每个EOT。随着组装或制造继续,可使用ECU识别符来区分由特定的ECU供应商生产的每个ECU与供应商生产的其它EOT。EOT识别符可存储在与该识别符相关联的EOT的存储器部分中。可能的是,EOT识别符可以是在ECU 18被制造时与ECU 18相关联的序列号。然而,由特定的ECU供应商发出或分配的每个ECU识别符的一部分可包括制造ECU的供应商的供应商识别符,如上文结合步骤220所讨论的。在这个意义上,每个ECU识别符是唯一的,但共用公共的供应商识别符,该供应商识别符指示制造ECU的ECU供应商的身份。步骤230可使用供应商计算机14实现上述或其它类似的计算机资源。方法200继续到步骤240。
[0042]在步骤240中,使用供应商加密密钥和EOT识别符为EOT 18生成EOT解锁授权密钥。一旦EOT供应商已将EOT识别符分配至EOT,例如EOT 18,EOT供应商就可利用密钥生成算法使用供应商加密密钥和ECU识别符并使用供应商计算机14来创建ECU解锁授权密钥。然后,可将ECU解锁授权密钥与ECU 18的ECU识别符一起存储在ECU 18的存储器部分中。在另一个实施中,也可使用供应商计算机14创建第二 ECU解锁授权密钥。可用多个解锁授权密钥对ECU编码,以便提供对ECU的不同等级的访问。当要在ECU 18中存储两个或更多个授权密钥时,密钥生成算法可使用ECU识别符和供应商密钥来输出第一 ECU解锁授权密钥和第二解锁授权密钥。然后,供应商计算机14可对ECU 18编程,从而为第一 ECU解锁授权密钥和第二 ECU解锁授权密钥提供不同等级的访问。然后,可将第一和第二 ECU解锁授权密钥两者存储在EOT 18中。在EOT 18已被编程使得其E⑶识别符和至少一个EOT解锁授权密钥被存储在ECU 18中之后,可接着将ECU 18安装在车辆22中。方法200继续到步骤250。
[0043]在步骤250中,在具有对主加密密钥的访问入口的中央设施12处接收已从EOT 18访问的ECU识别符。在ECU 18已被安装到车辆22中之后,经授权的个人(例如车辆经销商维修部雇佣的人)可能出于多种原因而希望访问ECU 18 ;诊断服务或提供软件更新是这些原因中的两个例子。通过将车辆诊断工具24附接到车辆22的0BD II连接器并且获得EOT 18的EOT识别符,经授权的个人可访问车辆22的EOT 18。除了 EOT识别符之外,车辆诊断工具24也可获得由EOT 18生成的随机值或“暗号”(challenge)。然后,车辆诊断工具24可将EOT识别符和暗号传输至中央设施12。虽然图1描绘了将EOT识别符和暗号经由通信网络16无线地传输至中央设施12的车辆诊断工具24,但应当理解,在位于车辆22中的ECU 18和中央设施12之间的通信路径可以多种方式建立,所述方式可能包括或不包括车辆诊断工具24。此外,可以使用不同的技术来确定个人是否被授权访问ECU。例如,仅当个人享有由中央设施12提供的预订服务(例如,远程信息预订服务)时,才可以认为此人被授权。或者在另一个示例中,个人可通过最终提供至中央设施12的口令或密码而被授权。其它实施对于本领域的技术人员将显而易见。
[0044]—旦中央设施12接收了 EOT 18的EOT识别符和暗号,中央设施12可读取EOT识别符并将其与包括在ECU识别符中的供应商识别符分离。中央设施由此可知道制造ECU的EOT供应商的身份。方法200继续到步骤260。
[0045]在步骤260中,使用主加密密钥从供应商识别符重新创建供应商加密密钥,并且使用供应商加密密钥和ECU识别符生成ECU解锁授权密钥。一旦中央设施12识别了 ECU18的供应商,设施12就可引发密钥生成算法,该算法使用供应商识别符和主加密密钥来重新创建供应商加密密钥。然后,利用ECU 18的ECU识别符,中央设施12可使用供应商加密密钥将ECU识别符输入到密钥生成算法中,以重新创建存储在ECU 18中的ECU解锁授权密钥。利用重新创建的ECU解锁授权密钥,中央设施12可将其接收的随机值或暗号与重新创建的ECU解锁授权密钥一起输入到密钥生成算法中,并且生成将发送给经授权的个人的唯一值,该唯一值将在本文中称为暗号响应。然后,中央设施12可将暗号响应通信给经授权的个人(在该实施中,经由车辆诊断工具24),经授权的个人可接着使用暗号响应来访问EOT 18。车辆诊断工具24可将暗号响应通信至EOT 18。EOT 18可将暗号输入到存储在EOT18的存储器部分中的解锁加密密钥中。如果来自存储的加密密钥的输出与暗号响应相同,经授权的个人可访问ECU 18的功能方面;否则,个人可能被拒绝访问ECU 18。方法200接着结束。
[0046]应当理解,上述内容是对本发明的一个或多个实施例的描述。本发明不限于本文所公开的(多个)特定实施例,而是仅由下面的权利要求限定。而且,包含在以上描述中的陈述与特定实施例有关且不应理解为限制本发明的范围或权利要求中使用的术语的定义,除非上文明确地定义了术语或短语。各种其它实施例和对本文所公开的(多个)实施例的各种变化和修改对于本领域的技术人员将变得显而易见。所有这样的其它实施例、变化和修改均意图落在所附权利要求的范围内。
[0047]如在本说明书和权利要求中所用,术语“如”、“例如”、“比如”、“诸如”和“好像”以及动词“包括”、“具有”、“含有”和它们的其它动词形式,当与一个或多个部件或其它项目的罗列结合使用时,各自应理解为开放式的,这意味着该罗列不应看作是排除其它、额外的部件或项目。其它术语将使用其最广义的合理含义来理解,除非它们在要求不同解释的背景上使用。
【主权项】
1.一种控制对电子控制单元(ECU)的访问的方法,包括以下步骤: (a)在ECU供应商计算机处接收使用供应商识别符从主加密密钥导出的供应商加密密钥,所述供应商识别符识别ECU供应商; (b)发出ECU识别符,所述ECU识别符识别ECU并且包括所述供应商识别符; (c)使用所述供应商加密密钥和所述ECU识别符为所述ECU生成ECU解锁授权密钥;以及 (d)将所述ECU解锁授权密钥和所述ECU识别符存储在所述ECU中。2.根据权利要求1所述的方法,还包括使用所述供应商加密密钥和所述ECU识别符生成多个ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。3.根据权利要求1所述的方法,其中,所述供应商加密密钥从具有对于所述主加密密钥的访问入口的中央设施处传达。4.根据权利要求1所述的方法,还包括在中央设施处将所述供应商识别符分配给所述E⑶供应商的步骤。5.根据权利要求1所述的方法,还包括将所述ECU安装在车辆中的步骤。6.根据权利要求1所述的方法,还包括以下步骤:从所述ECU访问所述ECU识别符;识别所述供应商识别符与所述ECU识别符;使用所述主加密密钥将所述供应商识别符输入到密钥生成算法中;以及重新创建所述供应商加密密钥。7.根据权利要求6所述的方法,还包括使用所述供应商加密密钥将所述ECU识别符输入到密钥生成算法中并且重新创建所述ECU解锁授权密钥的步骤。8.—种控制对电子控制单元(ECU)的访问的方法,包括以下步骤: (a)在具有对于主加密密钥的访问入口的中央设施处接收已从ECU访问到的ECU识别符; (b)分离包括在所述ECU识别符中的供应商识别符; (c)使用所述主加密密钥从所述供应商识别符重新创建供应商加密密钥;以及 (d)使用所述供应商加密密钥和所述ECU识别符生成ECU解锁授权密钥。9.根据权利要求8所述的方法,还包括使用所述供应商加密密钥和所述ECU识别符生成第二 ECU解锁授权密钥的步骤,其中,每个ECU解锁授权密钥提供对所述ECU的不同数量的访问。10.—种控制对电子控制单元(ECU)的访问的方法,包括以下步骤: (a)生成主加密密钥以用于创建供应商加密密钥; (b)使用所述主加密密钥和供应商识别符生成供应商加密密钥; (c)将所述供应商加密密钥提供至ECU供应商计算机; (d)发出ECU识别符,所述ECU识别符唯一地识别ECU并且包括所述供应商识别符; (e)使用所述供应商加密密钥和所述ECU识别符为所述ECU生成ECU解锁授权密钥; (f)将所述ECU解锁授权密钥和所述ECU识别符存储在所述ECU中; (g)在具有对于所述主加密密钥的访问入口的中央设施处接收已从所述ECU访问的所述ECU识别符; (h)分离包括在所述ECU识别符中的所述供应商识别符;(i)使用所述主加密密钥从所述供应商识别符重新创建所述供应商加密密钥;以及(j)使用所述供应商加密密钥和所述ECU识别符生成所述ECU解锁授权密钥。
【专利摘要】控制对电子控制单元(ECU)的访问的系统和方法包括:在ECU供应商计算机处接收使用供应商识别符从主加密密钥导出的供应商加密密钥,所述供应商识别符识别ECU供应商;发出ECU识别符,所述ECU识别符识别ECU并包括供应商识别符;使用供应商加密密钥和ECU识别符为ECU生成ECU解锁授权密钥;以及将ECU解锁授权密钥和ECU识别符存储在ECU中。
【IPC分类】H04L9/08
【公开号】CN105490803
【申请号】CN201510638815
【发明人】D.W.拉克利夫特, D.M.奈尔恩, T.M.富里斯特
【申请人】通用汽车环球科技运作有限责任公司
【公开日】2016年4月13日
【申请日】2015年9月30日
【公告号】DE102015116445A1, US20160099806
最新回复(0)