用于安全地传输数据的方法和通信系统的制作方法

文档序号:8000389阅读:234来源:国知局
用于安全地传输数据的方法和通信系统的制作方法
【专利摘要】本发明涉及用于在至少一个构成为服务器的单元与多个分别构成为客户机的单元之间安全地传输数据的方法,其中服务器只能经由中央对话接口与所述多个客户机中的作为主客户机工作的客户机通信,并且分别构成为客户机的单元经由数据总线相互连接,其中主客户机反应于服务器的接入请求而生成初始化值并且发送给服务器,服务器基于该初始化值借助计算准则计算第一密钥并且发送给主客户机,主客户机将由服务器计算的第一密钥与由主客户机借助所述计算准则确定的第二密钥相匹配,并且在第一密钥与第二密钥一致的情况下,主客户机发起至其余客户机中的至少一个客户机的接入的建立。此外本发明涉及相应的通信系统。
【专利说明】用于安全地传输数据的方法和通信系统
【技术领域】
[0001]本发明涉及用于在至少一个构成为服务器的单元和多个分别构成为客户机的单元之间安全地传输数据的方法和相应的通信系统。
【背景技术】
[0002]在机动车中,安全性关键的功能、尤其是机动车的控制设备的失灵可能导致严重事故。因此对例如刹车的车辆功能的安全性和可靠性提出了高的要求。在此,测试方法以及诊断都是用于确保这些要求和标识故障的措施。诊断功能特别是用于实现对与安全性相关的系统的监视,以便在机动车的故障行为的情况下能够实现有针对性的故障查找。
[0003]在故障诊断方法中,例如检验在至少两个值之间是否满足在这些值之间存在的关系。在此存在可以如何检验这种关系的不同的方法。通过诊断系统尤其是由机动车的控制设备来实现对机动车的监视。在此期间诊断系统属于串行控制设备的基本范围。在此,在车载诊断功能和离车诊断功能之间进行区分。其中相应的控制设备连接到诊断测试器上的故障识别功能被称为离车诊断功能。此外多个控制设备可以连接到该诊断测试器上。在此诊断测试器连接到中央车辆对话接口,即与车辆的不同控制设备连接的所谓的诊断插头。从而可以访问所有有诊断能力的控制设备。为了在控制设备与诊断测试器之间通信,定义了标准。一般在考虑这些标准的情况下明确地确定离车通信。用于标准化的途径也通过法律规定来预先给定,这些法律规定强制相对统一的接口用于检查与废气有关的系统功能。所谓的关键字2000协议首先用K线一双向单线总线一并且稍后用CAN总线系统来实现,所述CAN总线系统尤其是在IS014230中被规范化。在另一种标准ISO 14229中,利用关键字2000协议诊断引入的原理被一般化,以便由此能够集成诸如LIN或FLexRay的其它总线系统。但是在所有这些标准中,到目前为止仅仅描述了在用作服务器的诊断测试器与作为客户机工作的控制设备之间的离车通信。
[0004]用于保障至少两个控制单元之间的数据传输的方法由罗伯特博世股份有限公司的出版物DE 196 52 256 Al已知。在该方法中,控制单元之一将随机比特序列传输到数据总线上。此外,在所有控制单元中都创建具有随机比特序列和内部密钥的密钥代码。由控制单元之一发送用该密钥代码创建的报文,所述报文在接收的控制单元中对该报文利用该密钥代码的正确加密进行检查并且被读取。在此情况下还可以用密钥信号来使第一控制单元投入运行,其中该第一控制单元通过数据总线上的振铃信号对该密钥信号的接收进行证实,并且第二控制单元根据该振铃信号被初始化。此外,由第二控制单元开始将随机比特序列传输至第一控制单元。两个控制单元都可以创建具有随机比特序列和内部密钥的密钥代码。
[0005]用于经由网络分发密钥的方法是诺基亚公司的出版物US 7 346 771 B2的主题。在此情况下,在使用协议交换消息作为分发密钥的手段的情况下在网络的路由器之间使用密钥。规定为此目的采用链接的鉴权系统。
[0006]由Secunet安全网络公司的出版物EP I 959 606 Al已知用于机动车的安全性单元。在此,该安全性单元包括至少一个密码模块,利用该密码模块产生、存储、管理和/或处理密码密钥。所述安全性单元经由车辆总线与多个控制单元连接。
[0007]在现有技术的背景下,本发明的任务是设置有效地并且尤其是在考虑与安全性有关的数据传输的情况下提供在多个控制设备与诊断测试器之间的离车通信的可能性。

【发明内容】

[0008]为了解决该任务根据本发明提供具有权利要求1的特征的方法和具有权利要求8的特征的通信系统。
[0009]其它构型可以从相应的从属权利要求得到。
[0010]根据本发明,提供一种用于在至少一个构成为服务器的单元与多个分别构成为客户机的单元之间安全地传输数据的方法,其中服务器只能经由中央对话接口与来自所述多个客户机中的作为主客户机工作的客户机通信,并且分别构成为客户机的单元经由数据总线相互连接。
[0011]在本公开的范围中,在此将来自所述多个客户机中的可以由作为与多个客户机处于外部关系(im Verhaltnis zu…aufienstehend)的单元的服务器察觉为接入点并且被调用(aufrufen)或调入(anrufen)的客户机理解为主客户机。与此相对地,服务器不能直接访问来自所述多个客户机中的其余客户机。
[0012]根据本发明的方法,主客户机反应于服务器的接入请求而生成初始化值并且将该初始化值发送给服务器。服务器基于该初始化值借助计算准则计算第一密钥并且将该第一密钥发送给主客户机。主客户机将由服务器计算的第一密钥与由主客户机借助所述计算准则确定的第二密钥相匹配(abgleichen),并且在第一密钥与第二密钥一致的情况下发起至其余客户机中至少一个的接入的建立。
[0013]在本发明的方法中提到的服务器可以例如是前面已经提到的所谓的诊断测试器。多个客户机可以是机动车的控制设备。这些控制设备之一于是相对于诊断测试器并且与其它控制设备相比承担前面所描述的主客户机的功能。
[0014]在本发明方法的实施中,在第一步骤中规定,服务器将针对安全接入的第一请求发送至主客户机,该主客户机基于该第一请求产生初始化值(也称为种子)并且发送给服务器。服务器基于所接收的初始化值计算密钥并且将该密钥发送回主客户机。此外,主客户机基于也由服务器使用的、诸如安全性算法的计算准则计算第二密钥并将第二密钥与所接收的第一密钥相比较。在本发明方法的其它构型中,主客户机发起至多个客户机中的至少一个其它客户机的接入的建立。在此,主客户机为所述至少一个其它客户机承担服务器的任务并且同样向所述至少一个其它客户机发送针对安全接入的请求。该方法可以递归地继续,从而为多个客户机中的每一个客户机依次产生了针对相应的安全接入的密钥。
[0015]在本发明方法的一种构型中,初始化值被选择为随机比特序列,并且一个计算准则或多个计算准则固定地预先给定,分别可调用地存储在服务器和客户机上。
[0016]根据本发明方法的另一实施方式,主客户机在第一密钥与第二密钥一致的情况下并且在发起了至至少一个其它客户机的接入之后向服务器表明,至所述至少一个其它客户机的接入在建立中。
[0017]此外规定,如果在建立至至少一个其它客户机的接入中其余客户机中的所述至少一个其它客户机确定出,主客户机的对于至至少一个客户机的接入而计算的密钥与所述至少一个其它客户机的相应计算的密钥不一致,则主客户机停止至所述至少一个其它客户机的接入的建立,向服务器表明这一点并且阻止数据传输。
[0018]根据本发明方法的另一构型规定,主客户机在第一密钥与第二密钥一致的情况下逐步地分别发起至所有其余客户机的接入的建立,其中主客户机相应地作为服务器起作用并且相应的客户机作为主客户机起作用。这意味着,至其它客户机之一的接入的建立根据与服务器至主客户机的接入的建立相同的方案进行。分别计算的密钥的长度以及用于计算相应的密钥的计算准则或算法例如可以由特定的制造商定义并且可以相互不同。这意味着,用于在服务器侧计算第一密钥和用于通过主客户机计算第二密钥的计算准则可以不同于用于计算用来建立主客户机至其它客户机之一的接入的相应密钥的要使用的计算准则。此外,用于建立主客户机至其它客户机的相应接入的相应要使用的计算准则也可以彼此不同。
[0019]此外规定,相应的客户机向主客户机给出对于相应的接入相应计算的密钥是否一致的反馈。在用于至其余客户机中的至少一个的接入的密钥不一致的情况下,主客户机停止至所有其余客户机的相应接入的相应建立,向服务器表明这一点并且阻止数据传输。这意味着,在用于至仅一个客户机的接入的密钥不一致的情况下,使至其余客户机的每一个接入对于服务器而言均变得不可能,因为主客户机在其作为唯一的接触点或作为服务器与客户机之间的对话接口的功能下立刻截止至客户机的所有相应接入。由此在服务器与多个客户机中的一个客户机之间的数据传输是不可能的。只有当至多个客户机中的所有在服务器侧期望接入所针对的客户机的所有接入利用相应客户机向主客户机的肯定的反馈被确认并由此被允许时,主客户机才用肯定的反馈通知服务器,使得该服务器可以促使相应的数据传输。
[0020]本发明还涉及具有构成为服务器的单元和多个分别构成为客户机的单元的通信系统,其中服务器被设计为经由中央对话接口仅与多个客户机中的作为主客户机工作的客户机通信,并且分别构成为客户机的单元利用数据总线相互连接。根据本发明通信系统,主客户机与服务器之间的通信在此可以被实现为,使得主客户机反应于服务器的接入请求而生成初始化值并且发送给服务器,该服务器基于该初始化值借助计算准则计算第一密钥并且发送给主客户机,主客户机将由服务器计算的第一密钥与由主客户机借助所述计算准则确定的第二密钥相匹配,并且在第一密钥与第二密钥一致的情况下主客户机发起向其余客户机中的至少一个其它客户机的接入的建立。
[0021]根据一种实施方式,本发明的通信系统可以是监控系统(Kontrollsystem),在该监控系统的情况下服务器是监控单元,并且客户机是机动车的相应的控制设备。
[0022]出于安全性原因,至控制设备的与安全性有关的功能的接入或者至诸如数据编程的与安全性有关的领域的接入必须分别被保障。为了获得接入,监控单元可以通过第一消息要求相应的控制设备同意安全接入。用于同意这种接入的条件由车辆制造商确定。根据本发明现在规定,为了建立这种接入在监控单元和多个控制设备之间的通信经由监控单元与用作主客户机的控制设备之间的中央对话接口来执行。在此,监控单元借助密钥交换在作为主客户机工作的控制设备处登记,以便获得至该控制设备及其功能以及至与主客户机连接的其它控制设备的接入。为此监控单元发送第二消息,作为主客户机工作的控制设备利用初始化值来对该第二消息进行应答。如前面已经提到的,这可以是随机数或随机比特序列。监控单元从其计算第一密钥并且利用第三消息将该第一密钥发送回作为主客户机工作的控制设备。如果该应答与由控制设备期待的值一致,则作为主客户机起作用的控制设备发起至其余控制设备中的至少一个其它控制设备的接入的建立,一般连续地发起至所有与作为主客户机工作的控制设备连接的控制设备的相应接入的建立,以从而获得至所有相互连接的控制设备的安全接入。至相应客户机的接入的建立在此在作为服务器起作用的监控单元侧根据与至作为主客户机工作的控制设备的接入相同的方案进行。如果每一个客户机或每一个相应的控制设备都可以确认分别相应计算的密钥的一致性,则作为主客户机工作的控制设备将肯定的应答发送回监控单元并且释放一个或多个接入。相应的计算的密钥的长度以及用于计算所述密钥的算法可以例如由相应的车辆制造商预定义并且是分别不同的。
[0023]可以设想的是,在建立相应的接入时激活超时机制。如果监控单元不是最晚每隔X秒获得来自作为主客户机工作的控制设备的消息,则监控单元与作为主客户机工作的控制设备之间的通信就被中断。出于该原因,如果不能发送真正的诊断消息,则主客户机最晚每隔 y 秒(y〈x)发送存在消息(Present-Botschaft)。
[0024]本发明的其它优点和构型由说明书和附图得出。
[0025]不言而喻,上面所述的和下面还要阐述的特征不仅能以分别说明的组合,而且能以其它组合或单独地使用,而不脱离本发明的范围。
【专利附图】

【附图说明】
[0026]图1示出本发明方法的实施方式,其中要建立至多个客户机的相应接入。
【具体实施方式】
[0027]借助实施方式在 附图中示意性示出本发明,并且下面参照附图详细描述本发明。
[0028]图1划分为图la,lb和lc,其中图la,Ib和Ic在其整体上示出本发明方法的一种实施方式,在该方法中建立至多个客户机的相应接入。
[0029]图1a在此示出构成为服务器的单元I以及多个构成为客户机的单元10_1,10_2,10_3,10_4,…,10_n。根据本发明的方法,构成为客户机的单元之一被构成为主客户机并且被设计为与服务器I通信。下面将构成为客户机的单元通常称为客户机。主客户机在此通过客户机10_1示出。为了开启会话,在例如可以是诊断测试器的服务器I与主客户机10_1之间开始通信。在此,服务器I借助密钥交换在主客户机10_1处登记,以获得对确定的诊断服务以及对与主客户机连接的其它客户机10_2,…10_n的访问。为此服务器I将第一消息101发送给主客户机10_1,主客户机用包含在消息102中的初始化值来应答该第一消息。也就是说,反应于消息101,主客户机10_1生成初始化值11。如详细地已经提到的,这可以是随机数或随机比特序列。服务器I从该随机数或随机比特序列中计算第一密钥并利用第二消息103将该第一密钥发送给主客户机10_1。主客户机10_1根据已经由服务器I使用的计算准则计算第二密钥,并且将第二密钥与第一密钥进行比较。如果服务器I的第一密钥与主客户机10_1的第二密钥不一致,则主客户机10_1将相应的否定的消息104发送给服务器1,使得不进行数据传输并且接入被阻止。如果密钥、也就是服务器I的第一密钥和主客户机10_1的第二密钥一致,则主客户机10_1向服务器I发送肯定的消息105,以通知该服务器1:其发起至其它客户机的接入的建立。
[0030]因此,主客户机10_1将相应的请求、即与消息101相应的消息106发送给其它客户机,在此是客户机10_2。主客户机相对于其余客户机10_2,10_3,…,10_n作为服务器起作用。反应于主客户机10_1的消息106,客户机10_2生成其它初始化值12。客户机10_2将该初始化值12利用消息107发送回主客户机10_1。反应于此,主客户机10_1借助计算准则利用安全性算法计算密钥并且将由此计算的密钥利用消息108发送回客户机10_2。客户机10_2同样利用相同的计算准则计算相应的密钥并且将该密钥与由主客户机传送的密钥相比较。如果这些密钥不一致,则客户机10_2以消息109将这一点通知给主客户机10_1,该主客户机10_1接着用消息110通知服务器I并阻止接入。由此服务器I无论怎样既没有至主客户机10_1的接入也没有至其它客户机10_2或另外的客户机的接入。但是如果这两个密钥一致,则客户机10_2用肯定的消息111将这一点通知给客户机10_1。[0031]图1b现在示出在至客户机10_2的接入成功执行之后继续发起至其它客户机的其它接入的实施。主客户机在此也再次作为服务器工作并且又向客户机10_3发送与消息101相应的消息112。反应于此,客户机10_3生成其它初始化值13,客户机10_3利用消息113将该其它初始化值13传送给主客户机10_1。主客户机10_1基于初始化值13和计算准则又计算密钥,主客户机10_1将该密钥利用消息114通知给客户机10_3。客户机10_3又借助相同的计算准则计算其它密钥并且将该其它密钥与由主客户机10_1传送给它的密钥相比较。如果这些密钥不一致,则客户机10_3将否定的消息115发送给主客户机,该主客户机又将相应的否定的消息116传送给服务器I。如果这些密钥一致,则客户机10_3将肯定的消息117发送给主客户机10_1。接着,主客户机10_1在其作为服务器的功能下继续建立至其它客户机的其它接入。为此主客户机10_1又将与消息101相应的消息118发送给客户机10_4,该客户机10_4接着生成其它初始化值14并且将该其它初始化值14用消息119传送给主客户机10_1。主客户机10_1又基于该初始化值14和特定的计算准则计算其它密钥并将该密钥利用消息120传送给客户机10_4。该客户机10_4利用相同的计算准则计算其它密钥并且将该密钥与由主客户机10_1传送给它的密钥相比较。如果这些密钥应该不一致,则客户机10_4将否定的消息121发送给主客户机10_1,该主客户机10_1将相应的否定的消息122对准服务器I。与此相对地,如果这些消息一致,则客户机10_4用肯定的消息123对主客户机10_1作出反应。
[0032]图1c示出通过三个点表示的该方法继续到最后达到多个客户机中的最后一个客户机为止,以便为该最后一个客户机建立接入。为此主客户机10_1又将与消息101相应的消息130发送给客户机10_n,该客户机10_n接着生成其它初始化值In并且借助消息131通知给主客户机10_1。该主客户机10_1基于初始化值In和特定的计算准则计算密钥并且将该密钥用消息132传送给客户机10_n。该客户机10_n基于相同的计算准则计算其它密钥并且将该其它密钥与由主客户机10_1生成并且借助消息132传送给它的密钥相比较。如果这些密钥不一致,则在客户机10_1侧实现给主客户机10_1的相应的否定的消息133。主客户机10_1接着用消息134将否定的消息发送给服务器I。但是如果这些密钥一致,则在客户机10_n侧同样用消息135将这一点通知给主客户机10_1,该主客户机10_1最后将肯定的反馈136传送给服务器1,由此服务器I能够经由主客户机10_1将数据安全地传送给所有服务器10_1,10_2,…,10_n。可以设想的是,为了生成所有密钥而使用相同的计算准则或相同的安全性算法,并且仅仅相应要使用的初始化值是不同的或者必须不同。但是也可以设想的是,存储不同的计算准则并且考虑用于计算相应的密钥。这可以在特定的制造商、例如机动车制造商侧在 控制设备之间通信的情况下被预先给定。
【权利要求】
1.用于在至少一个构成为服务器的单元与多个分别构成为客户机的单元之间安全地传输数据的方法,其中服务器只能经由中央对话接口与所述多个客户机中的作为主客户机工作的客户机通信,并且分别构成为客户机的单元经由数据总线相互连接,其中 -主客户机反应于服务器的接入请求而生成初始化值并且发送给服务器, -服务器基于该初始化值借助计算准则计算第一密钥并且发送给主客户机, -主客户机将由服务器计算的第一密钥与由主客户机借助所述计算准则确定的第二密钥相匹配,并且 -在第一密钥与第二密钥一致的情况下,主客户机发起至其余客户机中的至少一个客户机的接入的建立。
2.根据权利要求1的方法,其中所述初始化值被选择为随机比特序列,并且所述计算准则被固定地预先给定以及分别可调用、但是接入安全地被存储在服务器和至少作为主客户机工作的客户机上。
3.根据权利要求1或2之一的方法,其中主客户机在第一密钥与第二密钥一致的情况下并且在发起了至其余客户机中的至少一个客户机的接入的建立之后向服务器表明,至所述其余客户机中的至少一个客户机的接入在建立中。
4.根据权利要求3的方法,其中如果在建立至所述其余客户机中的至少一个客户机的接入时所述其余客户机中的至少一个客户机确定出,主客户机的为了至所述至少一个客户机的接入而计算的密钥与所述至少一个客户机的相应计算的密钥不一致,则主客户机停止至所述至少一个客户机的接入的建立,向服务器表明这一点并且阻止数据传输。
5.根据上述权利要求 之一的方法,其中主客户机在第一密钥与第二密钥一致的情况下连续地分别发起和建立至所有其余客户机的接入,其中在此主客户机分别作为服务器起作用并且相应的客户机作为主客户机起作用。
6.根据权利要求5的方法,其中相应的客户机用反馈向主客户机表明对于相应的接入相应计算的密钥是否一致。
7.根据权利要求5或6的方法,其中在用于至其余客户机中的至少一个客户机的接入的密钥不一致的情况下,主客户机停止至所有其余客户机的相应接入的相应建立,向服务器表明这一点并且阻止数据传输。
8.具有至少一个构成为服务器的单元(I)和多个分别构成为客户机的单元(10_1,10_n)的通信系统,其中服务器(I)被设计为仅与多个客户机(10_1,10_n)中的作为主客户机工作的客户机(10_1)通信,并且构成为客户机的单元(10_1,10_n)经由数据总线相互连接,其中 -主客户机(10_1)反应于服务器(I)的接入请求而生成随机比特序列(11)并且发送给服务器(1), -服务器(I)基于该随机比特序列(11)借助计算准则计算第一密钥并且发送给主客户机(10_1), -主客户机(10_1)将由服务器(I)计算的第一密钥与由主客户机(10_1)借助所述计算准则确定的第二密钥相匹配,并且 -在第一密钥与第二密钥一致的情况下,主客户机(10_1)发起至其余客户机(10_2,10_3,...,10_n)中的至少一个客户机的接入的建立。
9.根据权利要求8的通信系统,其中主客户机(10_1)被配置为,在第一密钥与第二密钥一致的情况下连续地分别发起至所有其余客户机(10_2,10_3,10_n)的接入的建立,其中在此主客户机(10_1)分别作为服务器起作用并且相应的客户机(10_2,10_n)作为主客户机起作用。
10.根据权利要求8或9的通信系统,该通信系统是监控系统,其中服务器(I)是监控单元,并且客户机(10_1, 10_2,10_n)是机动车的相应的控制设备。
【文档编号】H04L29/06GK103475634SQ201310218156
【公开日】2013年12月25日 申请日期:2013年6月4日 优先权日:2012年6月5日
【发明者】A.福格尔 申请人:罗伯特·博世有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1