用于汽车电子控制单元的安全访问方法

用于汽车电子控制单元的安全访问方法
【专利摘要】本发明涉及一种用于采用机制来解锁车辆ECU的系统和方法。ECU存储识别特定的ECU的独特的ECU识别值，安全服务器存储ECU识别值和独特的ECU安全密钥值，其中，识别值识别服务器中的安全密钥值，并且，安全服务器存储对于很多ECU来说独特的ECU识别值和独特的安全密钥值。希望访问ECU以便软件重新编程或维护的维护工具从ECU请求ECU识别值和询问，并将ECU识别值和询问发送给安全服务器，然后，安全服务器识别与ECU识别值相关联的安全密钥值和询问的响应。然后，安全服务器将响应发送给维护工具，维护工具将其提供给ECU以便解锁ECU来编程。
【专利说明】用于汽车电子控制单元的安全访问方法
【技术领域】
[0001]本发明总体涉及一种用于安全访问或解锁车辆上的电子控制单元(ECU)的系统和方法，更具体而言，涉及一种用于安全访问或解锁车辆上的ECU的系统和方法，其中，该系统包括从ECU接收ECU识别值和安全询问的远程安全服务器，并且该服务器使用ECU识别值来识别用于ECU的ECU安全密钥值，以便提供对询问的响应。
【背景技术】
[0002]很多现代车辆包括电子控制单元(ECU)，或控制器，其控制车辆系统的操作，诸如动力系、气候控制系统、信息娱乐系统、车身系统、底盘系统、以及其它系统。这种控制器需要为特殊目的设计的软件，以便执行控制功能。随着这些控制器的数量以及复杂性增加，以及恶意软件开发者所带来的增长的威胁，现在比以往更重要的是认证安装在汽车控制器上的软件文件的来源和内容。在车辆控制器中使用未经适当证实的软件或者更糟的是恶意设计的软件的后果包括车辆或其系统的未曾预料的行为，失去车辆上的防盗特征，对诸如里程表等构件的潜在篡改，以及失去其它车辆特征和功能。
[0003]由于各种原因，车辆上的ECU必须偶尔进行维护或更新，其中，维护设施需要访问ECU,下载诊断故障代码或其它错误、对ECU重新编程，或者执行一些其它操作以便处理车辆问题。然而，为了安全，重要的是，仅认证的人员能够访问车辆上的ECU来执行维护操作，因为未经认证的使用者可能执行恶意或不当的活动，其不利地影响车辆操作。换句话说，重要的是，未经认证的使用者不能够访问车辆ECU来以可能是恶意的或损害车辆的软件来对E⑶进行编程。因此，需要具有安全的技术来解锁E⑶，以便编程、维护和其它操作。
[0004]使用某种类型的询问/响应机制，可以使车辆ECU解锁，用于安全敏感的诊断操作，询问/响应机制有时称为‘种子和密钥’，其中，种子代表询问，密钥代表响应。例如，试图访问ECU的维护工具将造成ECU发出询问消息，诸如某种类型的问题，其被预编程在ECU上，工具必须以适当的响应来回答该询问，该适当的响应也被预编程在ECU上，如果回答正确将使得ECU允许工具访问它。诊断标准识别该过程如何实施。例如，IS014229限定了允许使用询问/响应机制解锁设备的安全访问服务。
[0005]以上所述类型的询问/响应机制通常有两个分类。第一分类包括固定的询问，其中询问以及因此其期望的响应都是固定的。在这种实施方式中，E⑶简单地存储询问和响应，其中，不需要设备自身能够计算对于给定询问的响应。这种系统的一个缺点在于一旦响应被知道，则其永远被知道，今天解锁E⑶的相同响应在明天也将解锁相同的E⑶。因此，由这种类型的询问/响应机制所提供的安全是有限的。
[0006]第二分类包括可变的响应，其中，每个E⑶解锁操作造成E⑶发出不同的询问。这通常通过使要解锁的设备具有计算所给询问的响应的能力而实现。在很多实施方式中，其采用允许计算所给询问的响应的保密算法的形式。其优点在于防止响应在稍晚的时间被使用，但缺点在于，系统的安全依赖于算法的保密性。如果所有的设备使用相同的算法，则必须嵌入每个ECU中的算法的暴露将降低系统的整体安全性。
【发明内容】

[0007]根据本发明的教导，公开了用于解锁车辆ECU以便允许文件安装到ECU上的系统和方法。ECU存储识别特定的ECU的独特的ECU识别值，安全服务器存储ECU识别值和独特的ECU安全密钥值，其中，识别值识别服务器中的安全密钥值，并且，安全服务器存储对于很多E⑶来说独特的E⑶识别值和独特的安全密钥值。希望访问E⑶以便软件重新编程或维护的维护工具从ECU请求ECU识别值和询问，并将ECU识别值和询问发送给安全服务器，然后，安全服务器识别与ECU识别值相关联的安全密钥值和询问的响应。然后，安全服务器将响应发送给维护工具，维护工具将其提供给ECU以便解锁ECU来编程。下一次ECU被维护时，其提供安全服务器将能够正确地响应的不同的询问，因为它知道ECU安全密钥值。
[0008]此外，本发明还涉及以下技术方案。
[0009]1.一种允许访问车辆上的电子控制单元(E⑶)的方法，所述方法包括:
在ECU的存储器中存储识别ECU的ECU识别值；
在远程安全数据库中存储所述ECU识别值以及与所述ECU识别值相关联的ECU安全密钥值；
由维护工具从ECU请求所述ECU识别值；
响应于所述请求，在ECU中产生询问；
从ECU向所述维护工具发送所述ECU识别值和所述询问； 从所述维护工具向所述安全数据库发送所述E⑶识别值和所述询问；
识别对应于所述ECU识别值的EUC安全密钥值；
基于所述ECU安全密钥值在所述数据库中产生消息，该消息包括对所述询问的响应； 从所述数据库向所述维护工具发送所述消息；
从所述维护工具向所述ECU发送所述消息；以及 如果所述询问的响应被ECU所接受,则允许访问ECU。
[0010]2.如技术方案I所述的方法，其中，在所述数据库中产生消息包括使用对所述ECU安全密钥值进行加密的安全消息认证码来提供认证器。
[0011]3.如技术方案I所述的方法，其中，除了所述ECU识别值被用于识别所述ECU安全密钥值之外，在所述ECU识别值和所述ECU安全密钥值之间没有其它关系。
[0012]4.如技术方案I所述的方法，其中，所述E⑶识别值和所述E⑶安全密钥值通过保密密钥来关联，其中，所述ECU安全密钥值使用所述ECU识别值和所述保密密钥来计算。
[0013]5.如技术方案4所述的方法，其中，所述ECU安全密钥使用安全加密消息认证码来计算。
[0014]6.如技术方案4所述的方法，其中，所述ECU安全密钥值在预配服务器处进行计
笪
ο
[0015]7.如技术方案I所述的方法，其中，将所述ECU识别值和所述询问发送给所述安全数据库以及将所述ECU识别值和所述询问从所述维护工具发送给所述安全数据库包括使用通信链路，该通信链路选自短消息、因特网、网页访问、SMS文本消息、智能手机、电子邮件、语音响应系统和电话连接。
[0016]8.如技术方案I所述的方法，其中，在ECU中产生询问包括计算随机或伪随机的比特值。
[0017]9.如技术方案I所述的方法，其中，在E⑶中产生询问包括每次所述E⑶识别值被请求时产生不同的询问。
[0018]10.一种允许访问控制器的方法，所述方法包括:
在控制器的存储器中存储识别控制器的控制器识别值；
在远程安全数据库中存储所述控制器识别值以及与所述控制器识别值相关联的控制器安全密钥值；
由维护工具从控制器请求所述控制器识别值和询问；
响应于所述请求，在控制器中产生询问，其中，在控制器中产生询问包括每次所述控制器识别值被请求时产生不同的询问，并且其中，在控制器中产生询问包括计算随机或伪随机的比特值；
从控制器向所述维护工具发送所述控制器识别值和所述询问；
从所述维护工具向所述安全数据库发送所述控制器识别值和所述询问；
识别对应于所述控制器识别值的控制器安全密钥值；
基于所述控制器安全密钥值在所述数据库中产生消息，该消息包括对所述询问的响
应；
从所述数据库向所述维护工具发送所述消息；
从所述维护工具向所述控制器发送所述消息；以及 如果所述询问的响应被控制器所接受，则允许访问控制器。
[0019]11.如技术方案10所述的方法，其中，在所述数据库中产生消息包括使用对所述控制器安全密钥值进行加密的安全消息认证码来提供认证器。
[0020]12.如技术方案10所述的方法，其中，除了所述控制器识别值被用于识别所述控制器安全密钥值之外，在所述控制器识别值和所述控制器安全密钥值之间没有其它关系。
[0021]13.如技术方案10所述的方法，其中，所述控制器识别值和所述控制器安全密钥值通过保密密钥来关联，其中，所述控制器安全密钥值使用所述控制器识别值和所述安全密钥来计算。
[0022]14.一种允许访问控制器的系统，所述系统包括:
在控制器的存储器中存储识别控制器的控制器识别值的装置；
在远程安全数据库中存储所述控制器识别值以及与所述控制器识别值相关联的控制器安全密钥值的装置；
由维护工具从控制器请求所述控制器识别值和询问的装置；
响应于所述请求在控制器中产生询问的装置；
从控制器向所述维护工具发送所述控制器识别值和所述询问的装置；
从所述维护工具向所述安全数据库发送所述控制器识别值和所述询问的装置；
识别对应于所述控制器识别值的控制器安全密钥值的装置；
基于所述控制器安全密钥值在所述数据库中产生消息的装置，该消息包括对所述询问的回答；
从所述数据库向所述维护工具发送所述消息的装置；
从所述维护工具向所述控制器发送所述消息装置；以及 如果所述询问的响应被控制器所接受则允许访问控制器的装置。
[0023]15.如技术方案14所述的系统，其中，在所述数据库中产生消息的装置使用对所述控制器安全密钥值进行加密的安全消息认证码来提供认证器。
[0024]16.如技术方案14所述的系统，其中，除了所述控制器识别值被用于识别所述控制器安全密钥值之外，在所述控制器识别值和所述控制器安全密钥值之间没有其它关系。
[0025]17.如技术方案14所述的系统，其中，所述控制器识别值和所述控制器安全密钥值通过保密密钥来关联，其中，所述控制器安全密钥值使用所述控制器识别值和所述安全密钥来计算。
[0026]18.如技术方案14所述的系统，其中，在ECU中产生询问的装置计算随机或伪随机的比特值。
[0027]19.如技术方案14所述的系统，其中，在E⑶中产生询问的装置在每次所述E⑶识别值被请求时产生不同的询问。
[0028]本发明的其它特征将从结合附图的以下描述和权利要求变得清楚。
【专利附图】

【附图说明】
[0029]图1是包括车辆E⑶的车辆的示意图；以及 图2是使用远程安全数据库来解锁ECU的流程图。
【具体实施方式】
[0030]以下描述的本发明的实施例涉及用于解锁或访问安全车辆ECU的系统和方法，其在本质上仅为示例性的，绝非意图限制本发明或其应用或用途。例如，本发明具有访问车辆ECU的具体应用。然而，本领域技术人员应当理解的是，本发明的技术可具有访问其它控制器的应用。
[0031]本发明提出允许安全访问车辆ECU以便安装软件的方法。该方法与相关国际标准中限定的安全访问方法兼容，诸如IS014229，并且比已经提出的其它方法提供更好的安全性。本发明的总体思想是提供ECU专用的安全密钥，ECU和制造商都知道该安全密钥。该安全密钥用于加密的认证算法，例如消息认证码(MAC)，以产生询问/响应系统。要解锁的ECU提供独特的ID，该独特的ID用于在限定的数据库中查询安全密钥，该限定的数据库例如由车辆制造商所提供，并且制造商能够使用该密钥产生对于ECU所提供的询问的有效响应。ECU内的加密算法可以被公开而不会降低系统的安全性，因为安全性依赖于安全密钥，而该安全密钥对于各个ECU是不同的。
[0032]试图解锁E⑶的维护设施需要与远程位置的安全服务器通信。该通信可以通过直接连接到因特网来实现，或者通过各种其它通信机制，诸如短消息、网页访问、SMS文本消息、电话语音响应系统等。需要在ECU和安全服务器之间交换的较小量的信息使该通信变得容易。所提出的改进利用第二加密算法从ECU的独特识别信息而得到ECU专用的安全密钥，从而使得实现数据库的功能更简单，该第二加密算法将安全密钥与ID直接关联，S卩，密钥是ID的加密函数，不需要产生安全密钥数据库。
[0033]图1是车辆10的示意图，该车辆10包括E⑶12，其用于表示车辆10上的一个或多个ECU，不限制车辆的类型、ECU12的类型、ECU12的目的等。如以下所讨论的，本发明描述了一种解锁ECU12的技术，使得能够通过利用维护工具14的维护设施进行编程或维护软件文件的安装。根据本发明，相同车辆上的每个ECU或不同车辆上的每个ECU将具有其自身的ECU识别值和安全码或密钥。如以下详细所述，维护工具14从ECU12获得ECU识别值和询问，并将它们发送给远程的设施或安全服务器16，该远程的设施或安全服务器16还存储系统中的所有ECU的识别值和安全密钥。服务器16从工具14接收ECU识别值和询问，从识别值识别ECU安全密钥，并且从安全密钥识别存储在服务器16上的对询问的响应。服务器16将响应发送给工具14，工具14将其提供给E⑶12，如果正确，则允许工具14访问E⑶12。
[0034]为了解锁车辆ECU所提出的询问响应机制没有以上所述的缺点。基本上，车辆10中的每个不同的ECU使用不同的算法。结果，一个ECU或其它设备的成功的反向工程仅影响该设备的安全性，而不影响系统中的其它设备。然而，该过程已经被修改，更符合为了诊断操作而安全解锁的要求。
[0035]如所述的，用于解锁ECU而使用询问/响应机制要求能够认证操作的实体，即，安全服务器16。安全服务器16拥有认证所有的ECU所需要的所有信息，因此，安全服务器16的安全性(物理上和信息技术上)对于系统是非常重要的。在理想的实施方式中，安全服务器16将定位在安全数据中心，并且访问服务器16需要通过非常小心地控制的网络连接。存在“便携”安全服务器，即使仅用于开发或维护操作，也将使安全服务器16及因此系统整体的安全性受到威胁，因此应该避免。
[0036]每个E⑶12具有E⑶专用的识别值IDrcu，该值对于E⑶12是独特的，即，相同类型的ECU中的任何两个不同的ECU将具有不同的IDku值。存储该值的存储器不需要被保护而不能够诊断读取，但应该被保护而不能够诊断写入。应该存在一机制允许当ECU12处于锁定的安全状态时该信息可以从ECU12获取，例如使用IS014229的ReadDataByIdentifier服务通过非安全的DID读取来获取。应该注意，很多的ECU已经提供通过DID可跟踪的信息，包括序列号信息。如果对于每个ECU12是独特的，则可跟踪信息可以用于该IDku值。
[0037]每个E⑶12还具有E⑶专用的保密密钥值KEeu，该值对于每个E⑶12是专用的，SP，相同类型的ECU12中的任何两个不同的ECU将具有不同的Kku值。存储Kku值的存储器必须被保护不能进行读取或写入存储器的诊断操作，并且应该不具有允许该信息被读取或更改的诊断服务。
[0038]操作系统的实体对于每个产生的E⑶12保持IDKU、Kecu值对的数据库。该数据库必须以安全的方式实现，因为数据库的暴露将损害系统的安全性。该数据库必须支持查询功能，即，给定IDku值，则返回相应的ECU专用值Kku。
[0039]IDecu和Krcu值都是在完成车辆制造之前被编程到E⑶12中，例如，通过E⑶制造商或作为ECU12所安装的车辆的组装操作的一部分。结果，要装配的每个ECU12将具有独特的一组IDKU、Kecu值，并且安全服务器16必须支持对于所有装配车辆的IDku和Kku值的查询。
[0040]图2是示出了用于以上所述方式解锁E⑶12的一个过程的流程图40。过程的一些步骤由E⑶12执行，一些由维护技术人员所使用的工具14来执行，一些由可访问IDKU、Kecu对数据库的安全服务器16来执行。
[0041]在框42中，工具14利用例如IS014229的ReadDataByIdentifier服务来查询E⑶12，以便获得E⑶专用的IDrcu值，E⑶12通过提供其IDrcu值来响应查询。然后，在框44，通过从E⑶12请求所希望解锁的源类型的种子，例如编程或I/O控制，工具14开始IS014229的SecurityAccess服务请求。这可以通过使用EQJ12中的RequestSeed或RequestSeed_IO_Control 子函数来是实现。
[0042]在框46，ECU12计算随机或伪随机的32比特值Ci,作为IS014229的SecurityAccess过程中的种子。应该注意，选择32比特值作为种子是一种非限制性示例，可以采用任何适当的种子。如果Kku值被调节以产生不可预测的伪随机值，则每次过程被初始化，该值必须被改变，不应该是可以预测的，并且必须不能够泄露任何关于Kku值的任何有用信息。存在很多已知技术来产生这种随机值，并且在汽车领域其被很好地实践，因为其用作防盗系统中的询问。2006年4月25日授权给Forest等人的题目为“Motor VehicleEngine Immobilizer Security System and Method” 的美国专利 7034654 公开了技术的一个示例，其将伪随机和真随机信息组合以产生用于Ci的值，该专利受让给本申请的受让人，并且通过引用而结合在本文中。然后，在框48，ECU12响应IS014229的SecurityAccessRequestSeed请求,在IS014229的SecurityAccess的响应消息中将Ci值作为种子值提供给工具14。
[0043]然后，在框50，工具14准备好包含IDku和Ci值的消息，并且将其发送给服务器16。然后，在框52，服务器16使用对安全数据库的访问来查询对应于所提供的IDku值的Kku值。注意，Kku值永远不离开安全服务器16。然后，在框54，如果需要的话，服务器16产生消息MSGi,该消息包括连结了其它预先限定的填充数据PAD以及连结了 IDku值的Ci值。换句话说:
MSGi = Ci I IDecu I PAD(I)
在框56，服务器16使用本领域技术人员熟知的由Kku值加密的安全消息认证码(MAC)来计算认证器Ai,如下:
Ai = MAC (MSGi, Kecu)(2)
认证器Ai (其大小由MAC算法的细节来决定)的长度被减小到32比特，例如通过仅保留认证器Ai的最不重要的32比特。减小的长度值作为响应，记为Ri，如下:
Ri= Reduce_to_32_bits (Ai)(3)
然后，在框58，服务器16准备好包含响应Ri的消息，并且将其发送给工具14，如下所述。在框60,通过利用子函数SendKey将另一 SecurityAccess消息发送给EOJ12,使用响应Ri作为SecurityAccess过程所要求的32比特密钥，工具14继续IS014229过程。在框62，E⑶12从工具14接收IS014229密钥值，并且执行与服务器16所进行的计算类似的计算，以便计算出Ri值，如下:
MSGi = Ci I IDecu I PAD(4)
Ai = MAC (MSGi, Kecu)(5)
Ri= Reduce_to_32_bits (Ai)(6)
在判决框64中，ECU12将在IS014229安全访问过程中接收到的密钥与所计算出的Ri值进行比较。如果两个值精确地匹配，则在框66，ECU12执行安全解锁操作。如果两个值有任何的不同，则在框68，E⑶12将不执行安全解锁。在框70中，取决于比较的结果，E⑶12还发送适当的IS014229响应消息。
[0044]在框50和58的过程要求工具14和服务器16之间的通信，其可以是任何适当的通信。例如，最方便的机制可以是，工具14和服务器16可以都直接地连接到网络，诸如通过因特网。可以使用若干其它更间接的通信方法。由于在框50和58中的过程中发送的信息是相对紧凑的，即，其大小可以由人工以较低的错误可能性来较容易地处理，因此，如果直接的连接不可行，则也可以使用多种间接的机制。一些示例可以包括将信息显示在工具14上，然后允许技术人员将显示的数据输入到基于网络的至服务器16的接口中，其中，月艮务器16将所得到的Ri值显示在网页上，并且技术人员将响应键入工具14中。该过程的变型可以包括使用语音响应系统，使用SMS消息，使用在类似智能电话设备上的应用，使用电子邮件等等。
[0045]不管机制如何，假定与服务器16的交互具有某种类型的有效访问控制机制，即，限制谁能够获得解锁的能力。由于提供这种服务的公司可能将对于提供访问收费，因此，也可能的是，这种机制已经在使用了。此外，重要的是，服务器16保持处理的安全日志，S卩，谁执行了处理，它们什么时候被执行的，目标ECU等。这些日志可以用于检测破坏系统的企图，并且如果破坏确实发生了，用于识别谁或者什么受到了影响。
[0046]以上所述的安全服务器16的更为困难的方面之一是保持IDEa1、KEai对的数据库并且提供快速访问来查询由IDecu值索引的Kecu值。在之前的描述中，在IDecu值和Kecu值之间没有关系，即，它们可以各被视为随机数。然而，从操作角度来看，如果在Kku值和IDku值之间具有固定的关系，该关系允许从ID确定密钥，则可以省去对数据库的需要。这可以有很多方式来实现。一个非限制性示例的实施方式可以是，通过加密操作将两个值关联起来，其允许拥有密钥的某个人在给定IDku值的情况下确定Kku值。这可以使用安全加密MAC函数来实现，该函数利用单独的保密密钥Kmanuf来加密，其将用于对给定的IDrcu值产生Krcu值，其方式类似于以下:
MSGecu = ( IDecu I PAD )(7)
Kecu = MAC (MSGecu, Kmanuf)(8)
此处，PAD代表预先限定的填充数据，如果需要满足MAC函数的输入要求的话。并且，注意，保密密钥Kmanuf不同于系统中的每个Kku值，并且没有要求将保密密钥Kmanuf放置在任何E⑶12或维护工具14中，即，当被预配时，E⑶12简单地设置有利用保密密钥Kmanuf所产生的 IDEeu、Kecu 对。
[0047]以上所述的机制将对于每个IDku值计算独特的Kku值，并且加密MAC的安全性使得不具有保密密钥Kmanuf的黑客难以确定给定的IDku值的Kku值。当这种关系存在于Krcu和IDecu值之间时，将IDecu和Kecu对关联起来的数据库可以被使用由安全服务器16所提供的IDku值进行的Kku值的在线计算取代。
[0048]重要的是要认识到，这种系统的安全性很大程度上依赖于保密密钥Kmanuf的安全性。理想的是，保密密钥Kmanuf将永不离开安全服务器16，并且安全服务器16将被用于产生预配E⑶所需要的IDEaj、Keqj对的序列。如果需要,可以具有预配服务器(provisioningserver，未示出)，该预配服务器产生初始预配E⑶以便与安全服务器16分开所需要的对，该安全服务器16重新获得给定IDku值的Kku值。这可以允许例如将预配服务器放置在制造地点，以及将安全服务器16放置在安全数据中心。
[0049]还应该注意，不需要要求所有的E⑶使用相同的保密密钥Kmanuf值来建立起IDecu、Kecu对之间的关系。对于不同的ECU类型使用不同的Kmanuf值将允许例如产生仅能够预配单个类型的ECU12的预配服务器。对于预配服务器的损害将仅损害该类型的ECU，S卩，将不会允许解锁使用不同的保密密钥Kmanuf值的其它ECU。清楚的是，这种实施方式还将要求一些其它信息，例如，ECU类型，以便允许安全服务器16确定用来重新获得该ECU类型的Kku值的保密密钥Kmanuf的正确值。
[0050]本领域技术人员很容易理解，为描述本发明而在此处讨论的若干和各种步骤和过程可能涉及通过计算机、处理器或使用电现象操纵和/或转换数据的其他电子计算设备执行的操作。那些计算机和电子设备可采用各种易失的和/或非易失的内存，该内存包括其上存有可执行程序的非临时性计算机可读介质，该程序包括能够由计算机或处理器执行的各种代码和可执行指令，在这里内存和/或计算机可读介质可以包括所有形式和类型的内存和其它计算机可读介质。
[0051]前述论述仅公开和描述了本发明的示例性实施例。本发明技术人员将从该论述以及附图和权利要求容易地懂得，在不偏离以下权利要求限定的本发明的精神和范围的情况下，可以做出各种改变，变换和变形。
【权利要求】
1.一种允许访问车辆上的电子控制单元(EOT)的方法，所述方法包括: 在ECU的存储器中存储识别ECU的ECU识别值； 在远程安全数据库中存储所述ECU识别值以及与所述ECU识别值相关联的ECU安全密钥值； 由维护工具从ECU请求所述ECU识别值； 响应于所述请求，在ECU中产生询问； 从ECU向所述维护工具发送所述ECU识别值和所述询问； 从所述维护工具向所述安全数据库发送所述E⑶识别值和所述询问； 识别对应于所述ECU识别值的EUC安全密钥值； 基于所述ECU安全密钥值在所述数据库中产生消息，该消息包括对所述询问的响应； 从所述数据库向所述维护工具发送所述消息； 从所述维护工具向所述ECU发送所述消息；以及 如果所述询问的响应被ECU所接受,则允许访问ECU。
2.如权利要求1所述的方法，其中，在所述数据库中产生消息包括使用对所述ECU安全密钥值进行加密的安全消息认证码来提供认证器。
3.如权利要求1所述的方法，其中，除了所述ECU识别值被用于识别所述ECU安全密钥值之外，在所述ECU识别值`和所述ECU安全密钥值之间没有其它关系。
4.如权利要求1所述的方法，其中，所述ECU识别值和所述ECU安全密钥值通过保密密钥来关联，其中，所述ECU安全密钥值使用所述ECU识别值和所述保密密钥来计算。
5.如权利要求4所述的方法，其中，所述ECU安全密钥使用安全加密消息认证码来计笪
ο
6.如权利要求4所述的方法，其中，所述ECU安全密钥值在预配服务器处进行计算。
7.如权利要求1所述的方法，其中，将所述ECU识别值和所述询问发送给所述安全数据库以及将所述E⑶识别值和所述询问从所述维护工具发送给所述安全数据库包括使用通信链路，该通信链路选自短消息、因特网、网页访问、SMS文本消息、智能手机、电子邮件、语音响应系统和电话连接。
8.如权利要求1所述的方法，其中，在ECU中产生询问包括计算随机或伪随机的比特值。
9.一种允许访问控制器的方法，所述方法包括: 在控制器的存储器中存储识别控制器的控制器识别值； 在远程安全数据库中存储所述控制器识别值以及与所述控制器识别值相关联的控制器安全密钥值； 由维护工具从控制器请求所述控制器识别值和询问； 响应于所述请求，在控制器中产生询问，其中，在控制器中产生询问包括每次所述控制器识别值被请求时产生不同的询问，并且其中，在控制器中产生询问包括计算随机或伪随机的比特值； 从控制器向所述维护工具发送所述控制器识别值和所述询问； 从所述维护工具向所述安全数据库发送所述控制器识别值和所述询问； 识别对应于所述控制器识别值的控制器安全密钥值；基于所述控制器安全密钥值在所述数据库中产生消息，该消息包括对所述询问的响应； 从所述数据库向所述维护工具发送所述消息； 从所述维护工具向所述控制器发送所述消息；以及 如果所述询问的响应被控制器所接受，则允许访问控制器。
10.一种允许访问控制器的系统，所述系统包括: 在控制器的存储器中存储识别控制器的控制器识别值的装置； 在远程安全数据库中存储所述控制器识别值以及与所述控制器识别值相关联的控制器安全密钥值的装置； 由维护工具从控制器请求所述控制器识别值和询问的装置； 响应于所述请求在控制器中产生询问的装置； 从控制器向所述维护工具发送所述控制器识别值和所述询问的装置； 从所述维护工具向所述安全数据库发送所述控制器识别值和所述询问的装置； 识别对应于所述控制器识别值的控制器安全密钥值的装置； 基于所述控制器安全密钥值在所述数据库中产生消息的装置，该消息包括对所述询问的回答； 从所述数据库向所述维护工具发送所述消息的装置； 从所述维护工具向所述控制器发送所述消息装置；以及 如果所述询问的响应被控制器所接受则允许访问控制器的装置。
【文档编号】H04L29/06GK103685214SQ201210446257
【公开日】2014年3月26日 申请日期:2012年11月9日 优先权日:2011年10月28日
【发明者】T.M.富里斯特 申请人:通用汽车环球科技运作有限责任公司