用于确认密码密钥的系统和方法与流程

实施例涉及用于确认密码密钥的系统和方法。

技术实现要素：

当制造电子控制器时，制造商可以安装保护通信和确保电子控制器操作安全的秘密密钥。在安装过程期间，制造商可以生成电子控制器必须接收以便从安装过程中的某些点继续进行的消息。电子控制器可以利用指示安装状态、秘密密钥值或元素等的一组响应消息来响应。这些电子控制器的具有安全意识的购买者可能不想将该有价值的安全信息存储在制造商拥有的计算机系统上，并且将更愿意让响应消息存储在所购买的电子控制器上。然而，通过将响应消息存储在电子控制器上，制造商失去了管理响应消息的完整性的能力，所述响应消息可以包含安装信息，如果购买者在声称电子控制器被不适当地制造或秘密密钥的安装被不正确地执行的情况下返回，则所述安装信息可以被证明为有价值。因此，制造商和购买者需要一种既在电子控制器上存储响应消息并且还保证所存储的响应消息的有效性和完整性的手段。

因而，除了其他事物外，本文中提供的实施例还公开了用于确认密码密钥的系统和方法。

一个实施例提供了一种用于确认密码密钥的系统。所述系统包括电子控制器，电子控制器被配置成：响应于秘密密钥在电子控制器上的安装而生成电子消息，电子消息包括关于秘密密钥的安装的信息；使用制造商私钥对电子消息进行数字签名；对电子消息进行加密；将电子消息存储在存储器中；响应于用户的请求而访问所存储的电子消息，对电子消息进行解密；使用制造商公钥来确认电子消息的数字签名；生成确认消息；以及将确认消息发送给用户。

另一个实施例提供了一种用于确认密码密钥的方法。所述方法包括在电子控制器上安装秘密密钥；利用电子控制器生成电子消息，电子消息包括与秘密密钥在电子控制器上的安装有关的信息；利用电子控制器使用制造商私钥对电子消息进行数字签名；利用电子控制器对电子消息进行加密；利用电子控制器将电子消息存储在存储器中；响应于用户的输入，利用电子控制器从存储器访问电子消息；利用电子控制器对电子消息进行解密；利用电子控制器使用制造商公钥来确认电子消息的数字签名；利用电子控制器生成确认消息；以及利用电子控制器将确认消息发送给用户。

通过考虑详细描述和附图，其他方面、特征和实施例将变得清楚。

附图说明

图1图示了根据一个实施例的电子控制器。

图2是根据一个实施例的用于确认密码密钥的方法的流程图。

图3图示了根据一个实施例的车辆。

具体实施方式

在详细地解释任何实施例之前，要理解的是，本公开不意图在其应用方面限制于在以下描述中阐述的或在以下附图中图示的组件的布置和构造细节。实施例能够有其他配置，并且能够以各种方式被实践或被施行。

可以使用多个基于硬件和软件的设备以及多个不同的结构组件来实现各种实施例。此外，实施例可以包括硬件、软件以及电子组件或模块，出于讨论的目的，所述电子组件或模块可以被图示和描述为好像大多数组件仅在硬件中被实现了一样。然而，本领域普通技术人员并且基于对该详细描述的阅读将认识到，在至少一个实施例中，可以在可由一个或多个处理器执行的软件（例如，存储在非暂时性计算机可读介质上）中实现本发明的基于电子的方面。例如，说明书中描述的“控制单元”和“控制器”可以包括一个或多个电子处理器、包括非暂时性计算机可读介质的一个或多个存储器模块、一个或多个输入/输出接口、一个或多个专用集成电路（asic）以及连接各种组件的各种连接（例如，系统总线）。

图1图示了根据一个实施例的电子控制器100。电子控制器100包括电子处理器105、存储器110、输入-输出接口115和人机接口（hmi）120。电子处理器105、存储器110、输入-输出接口115和hmi120通过一个或多个通信线路或总线、无线地或其组合进行通信。在一些实施例中，电子控制器100包括除了图1中所图示的那些组件之外的附加组件，并且可以用各种配置来布置被包括在电子控制器100中的组件。

电子处理器105可以是微处理器、专用集成电路（asic）或另一合适的电子设备。在一个示例中，电子处理器105被配置成从存储器110检索数据和指令，并且除了其他事物外，还执行与本文中描述的过程和方法相关的软件。存储器110包括非暂时性的计算机可读存储介质。

输入-输出接口115可以是无线收发器、调制解调器等。输入-输出接口一般被配置成从来自电子控制器100外部的硬件组件或从其他计算系统接收输入，并且将来自电子控制器100的输出提供给外部硬件组件或其他计算系统。

hmi120可以包括显示屏、触摸屏和类似的组件。电子处理器105例如可以执行在显示屏上生成图形用户接口的指令。一般而言，hmi120允许用户与电子控制器100交互，例如直接通过屏幕或通过一个或多个其他外围组件或经由外部计算系统而到电子控制器100。

图2是根据一个实施例的用于确认密码密钥的方法200的流程图。方法200由电子控制器100执行，并且在一些实施例中可以进一步利用外部计算系统。

在方法200的框205处，电子控制器100响应于秘密密钥在电子控制器100上的安装而生成第一电子消息。由电子控制器100生成的电子消息包括关于秘密密钥的安装的信息，诸如安装的日期和时间、所安装的秘密密钥的版本、目标唯一标识符（uid）、序列号、将电子控制器100链接到生产零部件的记账信息等。电子消息还包括指示秘密密钥的安装状态的通知。例如，在一个实施例中，通知指示秘密密钥被正确且成功地安装，其包括由其中安装了秘密密钥的电子控制器100生成的响应消息。在另一个实施例中，通知指示安装过程中的错误或故障。

在一个实施例中，在车辆制造期间，执行秘密密钥到电子控制器100上的安装或加载。例如，图3图示了车辆300。电子控制器100在制造期间的情况下被安装在车辆300中。在电子控制器100被放置在车辆300中之前，秘密密钥被加载到电子控制器100中。在另一个实施例中，诸如图3中所示的实施例，通过将外部计算机系统350连接到输入-输出接口115并且从外部计算机系统350安装秘密密钥，在电子控制器100被安装在车辆300中之后将秘密密钥加载在电子控制器100上。

返回到图2，在一些实施例中，电子控制器100进一步生成认证电子消息。由电子控制器100生成的认证电子消息包括消息认证码，所述消息认证码进一步验证在框205处生成的电子消息所包括的信息。在一些实施例中，电子消息和认证电子消息被包括在相同的电子消息中。在其他实施例中，电子消息和认证电子消息是不同的电子消息。

在框210处，电子控制器100对电子消息进行数字签名。电子控制器100通过使用与电子控制器100的制造商相关联的私钥对电子消息进行数字签名。通过对电子消息进行数字签名，电子控制器100向与电子消息相关联的信息添加值，向电子消息添加新数据等等。当电子控制器100对电子消息进行数字签名时，数字签名被创建。数字签名可由电子控制器、诸如电子控制器100或外部计算系统的电子控制器读取。在一些实施例中，数字签名是能够由证书认证机构签名的较大数字证书的部分。

在对电子消息进行数字签名之后，在框215处，电子控制器100对电子消息进行加密。在一些实施例中，电子控制器100使用电子控制器100的购买者的公钥以便对电子消息进行加密。这允许购买者保持消息安全加密，并且不允许电子控制器100的制造商在秘密密钥在电子控制器100上的安装之后操控电子消息。

然后，在框220处，电子控制器100将经加密的电子消息存储在存储器中。在一些实施例中，经加密的电子消息被存储在存储器110中。在其他实施例中，经加密的电子经由无线通信方法而被发送给购买者，以存储在购买者的选择的存储器中。通过将经加密的电子消息存储在存储器110中或者通过将经加密的电子消息发送给购买者而不保存经加密的电子消息的副本，电子控制器100的制造商不需要存储具有关于秘密密钥在外部计算系统上的安装的信息的电子消息。这允许具有安全意识的电子控制器100的购买者保持具有关于秘密密钥安装的信息的电子消息存储在存储器110中或在另一个存储器中。在制造商的外部计算系统被损害的情况下，具有有价值的信息（诸如uid或安装信息）的电子消息未被损害，这是因为电子消息远离外部计算系统地存储在存储器110中或在另一个存储器中。

如果电子控制器100出现问题，则在框225处，购买者（或另一用户）从存储器110访问电子消息。例如，如果电子控制器100经历故障，则电子控制器100的购买者可能希望访问电子消息来检查安装信息，尤其是在电子控制器100的购买者正在与电子控制器100的制造商争论二者中哪一方对于电子控制器100的故障有错误的情况下。

为了检查安装信息，电子控制器100的购买者必须对存储在存储器110中的电子消息进行解密（在框230处）。购买者具有私钥，所述私钥用于基于与购买者相关联的、在秘密密钥的安装之后被用来对电子消息进行加密的公钥而对电子消息进行解密。在一个实施例中，购买者使用电子控制器100来使用私钥对电子消息进行解密。在另一个实施例中，购买者使用（经由输入-输出接口115和/或hmi120）连接到电子控制器100的外部计算系统，来使用私钥对电子消息进行解密。一旦购买者已经利用私钥对电子消息进行解密，电子消息就被传递给制造商。

电子控制器100的制造商从电子控制器100的购买者接收经解密的电子消息。为了验证电子控制器100的购买者曾未篡改或伪造电子消息所包括的信息，在框235处，制造商利用制造商公钥以便证实和确认数字签名。通过利用制造商公钥确认数字签名，制造商保证电子消息曾未被篡改，并且因此可以信任包含在电子消息内的信息准确地反映秘密密钥的安装。在一个实施例中，制造商不仅请求电子消息，而且还请求电子控制器100，以便执行数字签名的证实和确认。在一个实施例中，制造商使用hmi120以便与电子控制器100对接，以确认数字签名。在另一个实施例中，制造商经由输入-输出接口115将外部计算系统连接到电子控制器100，以便确认数字签名。

响应于数字签名的确认，电子控制器100被配置成在框240处生成确认消息。在一个实施例中，确认消息包括如在框235处执行的由制造商对数字签名的确认。在另一个实施例中，确认消息包括指示数字签名不能被确认的故障消息。其他实施例可以包括经确认的数字签名或故障消息以及诸如电子消息的其他内容之类的其他数据。在一些实施例中，经签名的消息和所有相关联的数据及消息被并入确认消息中。

然后，在框245处，将所生成的确认消息发送给用户。在一个实施例中，用户是电子控制器100的制造商。制造商接收包括经确认的数字签名的确认消息。如果制造商与确认消息一起接收到经确认的数字签名，则制造商可以信任由电子消息提供的指示秘密密钥的安装状态的信息（例如，密钥被正确地安装，并且因此制造商对于电子控制器100的故障没有错误）。如果制造商接收到故障消息，则制造商知道电子消息已经被篡改，并且制造商可以将电子消息已经被篡改的证据返回给购买者。

因此，除了其他事物外，本文中提供的实施例还公开了用于确认密码密钥的系统和方法。

在以下权利要求中阐述了各种特征、优点和实施例。