用于提供车辆专用数据信道的安全性服务的方法和装置与流程

本申请要求于2015年11月17日提交的韩国专利申请第10-2015-0160871号的权益，其全部内容通过引证结合于此。

技术领域

本公开涉及一种提供车辆头部单元与外部设备的链接中的安全性服务的方法。

背景技术：

该部分的陈述仅提供与本公开有关的背景信息，并且可不构成现有技术。

已经开发了将例如智能电话的外部终端(或外部设备)与车辆头部单元或安装在车辆中的音频视频导航(AVN)系统链接的各种技术。

例如，智能电话制造商苹果以及安卓OS供应商、谷歌最近已分别发起对应于个人标准的CarPlay以及谷歌安卓Auto(Google Android Auto)。因此，用户可通过将运行iOS或安卓OS的智能电话无线地或有线地连接至车辆头部单元，通过智能电话的第二显示器来使用车辆头部单元的显示器。

此外，以汽车连接联盟(Car Connective Consortium)为首的MirrorLink方案应用已由几个原始设备制造商(OEM)逐渐延伸。在中国，已经开发 了链接车辆AVN系统与智能手机的功能，该功能被诸如百度、腾讯等引领信息技术(IT)的公司独立地标准化。

车辆AVN系统与智能电话的链接功能使得智能电话的各种应用能够在车辆中便利地使用，使得适于车辆的应用能够通过以前由苹果/谷歌/百度等构建的生态系统分布，并且使得应用能够经常更新。因此，有可能有效克服传统车辆所存在的生态系统缺乏、对升级及连接的局限等的问题。因此，车辆AVN系统与智能电话的链接功能预期是如下一种技术：其可增强滞后于传统IT产品的车辆AVN系统的可售性。

此外，最近发布的车辆及智能电话支持车辆专用数据信道，该车辆专用数据信道用于发送和接收车辆相关的各类控制信息以及从车辆可获得的各类信息(例如，行驶信息、燃料效率信息、故障信息等)。

然而，车辆不具有用于验证智能电话的安全认证装置，并且因此具有如下问题：当智能电话被非法入侵时，通过车辆专用数据信道发送和接收的各种控制信号和数据的安全性较低。

通过车辆专用数据信道发送和接收的信息可包括对车辆安全十分重要的信息。因此，当信息泄漏或者被改变时，泄漏或改变的信息可能对安全行驶产生重大影响。因此，需要取决于是否从车辆AVN系统与智能电话之间的链接检测到非法入侵来限制车辆专用数据信道的使用。

更严重地，在分配苹果/谷歌等的SW的过程中，当代码被恶意黑客伪造或篡改时，具有潜在安全风险的代码可能安装在AVN系统中，并且因此车辆安全风险可能增加。

如图1所示，根据链接智能电话与车辆AVN系统的当前技术，使用诸如通用串行总线(USB)/Wi-Fi/蓝牙的物理通信方式将智能电话与车辆AVN系统彼此连接，并且当智能电话发送数据时，车辆AVN系统解码、 渲染并输出所接收的诸如视频或音频的数据。此外，车辆AVN系统可向智能电话发送通过所包括的诸如触摸屏、按键按钮等的输入装置输入的输入数据，用于语音识别、切换等的音频数据，通过包括在AVN系统中的全球定位系统(GPS)模块获取的定位数据，等等。此外，AVN系统可建立车辆专用数据信道以及包括在智能电话中的具体应用，以便通过建立的车辆专用数据信道发送和接收各类车辆控制信息及状态信息。例如，AVN系统可通过车辆专用数据信道向智能电话发送车辆中的故障信息、驾驶信息、燃料效率信息等，并且智能电话可通过车辆专用数据信道向AVN系统发送用于收集车辆信息的各种控制指令以及用于控制车辆操作的各种控制指令，诸如紧急制动。

在车辆AVN系统与智能电话的当前链接中，尽管标准被限定为验证就智能电话的软件或硬件而言的车辆AVN系统的完整性，但是标准仍未被限定为验证包括在车辆AVN系统的智能电话中的操作系统和软件的完整性。

通常，诸如AVN系统的车辆头部单元用在物理控制环境中。此外，车辆头部单元并未连续连接至网络，或者软件和固件并未被用户恒定更新。因此，相比较智能电话，车辆头部单元的安全风险低。

另一方面，智能电话连续连接至网络，并且因此连续暴露至来自外部的恶意黑客。因此，具有恶意代码的软件可能被安装。

当智能电话被非法入侵时，黑客可远程控制智能电话以向车辆发送紧急制动、随机操作方向盘等的控制指令，由此引起车辆安全的严重问题。

技术实现要素：

本公开提供了一种用于提供车辆AVN系统与外部终端之间的链接中的车辆专用数据信道的安全性服务的方法和装置，其基本上消除由于现有技术的局限和缺点所导致的一个或多个问题。

本公开也提供了一种用于提供车辆头部单元与外部终端之间的链接中的车辆专用数据信道的安全性服务的方法和装置，该方法和装置能够通过验证包括在外部终端中的应用软件和操作系统的完整性来禁止通过伪造或篡改的应用软件和操作系统的非法入侵的尝试。

本公开的另一方面提供了一种用于提供车辆头部单元与外部终端之间的链接中的车辆专用数据信道的安全性服务的方法和装置，该方法和装置除了通过加密经由车辆专用数据信道发送的数据包来保持车辆安全数据和车辆控制指令的机密性以外，还能够通过检测数据包是否被非法入侵(即，是否出现中间人(MITM)攻击)来适应性控制车辆专用数据信道的使用。

由本公开解决的技术问题不限于上述技术问题，并且本领域的技术人员可从以下描述中清晰地理解本文未提及的其他技术问题。

如本公开所描述的，通过车辆头部单元来提供与终端的链接中的车辆专用数据信道的安全性服务的方法，该方法包括：向终端发送用于请求包括在终端中的应用软件和操作系统的完整性验证的预定完整性验证请求消息；从终端接收完整性验证结果消息；根据完整性验证结果消息，当成功验证操作系统和应用软件的完整性时，与终端交换明码对称密钥；以及当成功交换明码对称密钥时，建立至终端的车辆专用数据信道，并且通过建立的车辆专用数据信道发送和接收使用明码对称密钥加密的数据包。

交换可包括：生成第一明码对称密钥；使用终端的公钥加密第一明码对称密钥，以便向终端发送加密的第一明码对称密钥；接收使用车辆头部单元的公钥加密的第一明码对称密钥；以及使用车辆头部单元的私钥解密 所接收的第一明码对称密钥，其中，当生成的第一明码对称密钥与解密的第一明码对称密钥相同时，可确定成功交换明码对称密钥。

当生成的第一明码对称密钥与解密的第一明码对称密钥不同时，可确定明码对称密钥的交换失败，其中，当明码对称密钥的交换失败时，可中断车辆专用数据信道的建立。

当应用软件和操作系统中的至少一者的完整性验证失败时，中断车辆专用数据信道的建立。

通过向预定对称密钥生成函数输入随机值可生成明码对称密钥。

通过车辆专用数据信道发送和接收的数据包可包括：用于控制包括车辆头部单元的车辆的操作的控制指令以及从车辆中的控制器收集的车辆信息中的至少一者。

车辆信息可包括：驾驶信息、燃料效率信息、故障信息、转向信息、方向盘控制信息、轮胎充气压力信息、发动机油状态信息、燃料状态信息或空调设备信息中的至少一者。

当在终端中成功验证应用软件的完整性时，可由经完整性验证的应用软件验证操作系统的完整性。

发送和接收可包括：将待发送的数据包划分为具有预定大小的块；根据预定规则，使用第一明码对称密钥生成第二明码对称密钥；以及使用第二明码对称密钥加密相应的划分块以生成加密块，使用通过使用第一明码对称密钥对划分块进行散列而生成的数据填充加密块，并且发送块。

发送和接收可包括：当通过车辆专用数据信道接收数据包时，根据预定规则使用第一明码对称密钥生成第二明码对称密钥；通过使用第二明码对称密钥解密包括在所接收的数据包中的相应加密块来提取第一数据；以 及通过使用第一明码对称密钥解密连接至相应加密块的填充数据来提取第二数据，其中，当第一数据与第二数据不同时，可确定在终端中出现中间人(MITM)攻击。

当确定出现MITM攻击时，可取消所建立的车辆专用数据信道。

当第一数据与第二数据相同时，可通过连接从相应加密块提取的第一数据而生成数据包。

在本公开的另一方面中，一种提供与车辆头部单元链接的终端中的车辆专用数据信道的安全性服务的方法，包括：从车辆头部单元接收完整性验证请求消息；验证包括在终端中的应用软件和操作系统的完整性；向车辆头部单元发送完整性验证结果消息；当成功验证完整性时，交换由车辆头部单元生成的明码对称密钥；以及当成功交换明码对称密钥时，建立至车辆头部单元的车辆专用数据信道，并且通过建立的车辆专用数据信道发送和接收使用明码对称密钥加密的数据包。

交换可包括：从车辆头部单元接收使用终端的公钥加密的第一明码对称密钥；以及在使用终端的私钥解密第一明码对称密钥之后，使用车辆头部单元的公钥加密第一明码对称密钥，并且向车辆头部单元发送经加密的第一明码对称密钥。

当应用软件和操作系统中的至少一者的完整性验证失败时，可中断车辆专用数据信道的建立。

发送和接收可包括：将待发送的数据包划分为具有预定大小的块；根据预定规则，使用第一明码对称密钥生成第二明码对称密钥；以及使用第二明码对称密钥加密相应的划分块以生成加密块，使用通过利用第一明码对称密钥对划分块进行散列而生成的数据填充加密块，并且发送块。

发送和接收可包括：当通过车辆专用数据信道接收数据包时，根据预定规则使用第一明码对称密钥生成第二明码对称密钥；通过使用第二明码对称密钥解密包括在所接收的数据包中的相应加密块来提取第一数据；以及通过使用第一明码对称密钥解密连接至相应加密块的填充数据来提取第二数据，其中，当第一数据与第二数据不同时，可确定出现MITM攻击，并且丢弃所接收的数据包。

在本公开的另一方面中，一种通过有线或无线通信连接与终端链接以发送和接收数据包的车辆头部单元，包括：车辆信息提供模块，用于向终端发送预定完整性验证请求消息以验证包括在终端中的应用软件和操作系统的完整性，并且用于基于从终端接收的完整性验证的结果，与终端交换第一明码对称密钥，并且当成功交换第一明码对称密钥时，建立向终端的车辆专用数据信道以发送和接收数据包；以及MITM攻击检测模块，当通过使用第一明码对称密钥以及由第一明码对称密钥调制的第二明码对称密钥解密所接收的数据包，通过车辆专用数据信道接收数据包时，MITM攻击检测模块用于检测是否在数据包中出现MITM攻击，其中，当检测到出现MITM攻击时，接收的数据包被丢弃，并且取消所建立的车辆专用数据信道。

在本公开的另一方面中，一种通过有线或无线通信连接与车辆头部单元链接的终端，包括：完整性验证模块，用于当从车辆头部单元接收完整性验证请求消息时，验证所包括的应用软件的完整性；以及车辆信息管理应用，用于当成功验证应用软件的完整性时，验证所包括的操作系统的完整性，并且用于向车辆头部单元发送应用软件和操作系统的完整性验证的结果，并且用于与车辆头部单元交换明码对称密钥，其中，当成功交换明码对称密钥时，在车辆头部单元与车辆信息管理应用之间建立车辆专用数据信道，并且通过建立的车辆专用数据信道发送和接收使用明码对称密钥加密的数据包。

在本公开的另一方面中，有可能提供一种计算机可读记录介质，该计算机可读记录介质记录用于执行上述提供用于车辆专用数据信道的安全性服务的方法中的任何一个的程序。

应注意，上述技术方案仅是本公开的实施方式的一部分，并且本领域技术人员可从以下给出的本公开的详细说明中得到并理解反映本公开的技术特征的各种实施方式。

从本文提供的描述中，进一步领域的适用性将变得显而易见。应理解，描述和具体实例旨在仅用于举例说明，而并非旨在限制本公开的范围。

附图说明

为了可充分理解本公开，现将参考附图以实例的方式描述本公开的各种方式，其中：

图1是用于描述根据现有技术的用于链接智能电话与车辆AVN系统的系统配置的框图；

图2是示出了实现为提供车辆AVN系统与智能电话的链接功能的AVN系统的层级结构的框图；

图3是用于描述提供车辆头部单元与外部终端之间的链接中的车辆专用数据信道的安全性服务的方法的示图；

图4是用于描述用于包括在智能电话中的应用软件和操作系统的完整性验证过程的框图；

图5是示出了交换用于车辆专用数据信道的加密的明码对称密钥的过程的流程图；

图6和图7是用于描述在发送端加密和发送待发送的数据包的方法的流程图；以及

图8和图9是用于描述解密由接收端接收的数据包的方法的示图。

本文所描述的附图仅用于说明性目的，并非旨在以任何方式限制本公开的范围。

具体实施方式

以下描述本质上仅是示例性的，并非旨在限制本公开、应用或用途。应理解，贯穿附图，相应的参考标号指代相同或相应的部件和特征。

本文中的元件的后缀“模块”和“单元”是为了便于说明，并且因此可互换地使用并且没有任何可区别的含义或功能。

尽管组成本公开的实施方式的所有元件被描述为整合为单个或者作为单个操作，但是本公开不必局限于这种实施方式。在本公开的目标和范围内，所有元件可选择性地集成为一个或多个元件以及可被操作为一个或多个元件。每个元件可实施为独立的硬件。可替代地，一些或所有元件可选择性地结合为具有执行结合在一块或多块硬件中的一些或所有功能的程序模块的计算机程序。可由本公开所属领域的技术人员容易地推理出构成计算机程序的代码和代码段。计算机程序可存储在计算机可读介质中，使得计算机程序由计算机读取和执行以实施本公开的实施方式。计算机程序存储介质可包括磁记录介质、光学记录介质和载波介质。

本文中描述的术语“包括”、“包含”以及“具有”应当被解释为不排除其他元件，而是进一步包括其他此类元件，因为相应元件可以是固有的，除非另有描述。包括技术或科学术语的所有术语具有与本公开所属领域的普通技术人员通常理解的相同含义，除非另有描述。通常使用的术语(诸如在字典中定义的术语)根据上下文应当被解释为与现有技术的意义 一致。除非在本公开中明显地限定，否则此类术语不应被解释为理想化的或过于正式的含义。

将理解，尽管在本文中可使用术语第一、第二、A、B、(a)、(b)等来描述本公开的各种元件，但是这些术语仅用于区别一个元件与另一元件，并且对应元件的本质、顺序或序列不受这些术语限制。将理解，当一个元件被称为“连接至”、“耦接至”或者“访问”另一元件时，虽然一个元件可直接地连接至或直接访问另一元件，但是一个元件可通过另外的元件“连接至”、“耦接至”、或“访问”另一元件。

在以下描述中，车辆头部单元可具有音频视频导航(AVN)功能，并且车辆头部单元和AVN系统可互换。

此外，根据本公开的外部终端可包括智能电话。为了便于描述，外部终端、终端以及智能电话可互换。

此外，包括在智能电话或车辆头部单元中以发送和接收从车辆收集的信息、车辆安全相关的信息、车辆控制指令等的应用软件被称为车辆专用应用或车辆信息管理应用。另一方面，包括在智能电话中的、使用包括在车辆头部单元中的AVN功能的应用软件被称为AVN链接应用，以便与车辆专用应用区分。

图2示出了根据本公开的实施方式的实现为提供车辆AVN系统与智能电话的链接功能的AVN系统200的层级结构。

参考图2，AVN系统200包括含有AVN应用211、智能电话链接应用212、智能电话链接应用插件213等的应用层210、用于提供中间件/用户接口框架240的中间件层220、操作系统层250、硬件层260等。

AVN应用211是用于提供AVN功能等的应用软件，并且可以是用于通过车辆头部单元的直接控制向用户提供各种AVN功能的应用软件。

智能电话链接应用212可包括：AVN链接应用，用于通过与智能电话的通信连接而远程控制AVN功能；车辆信息提供应用，用于实时从包括在车辆中的控制器收集各类车辆专用信息，并且根据从智能电话接收的预定控制指令向有线或无线连接的智能电话发送所收集的车辆信息，等等。

在这种情况下，可针对AVN链接应用及车辆信息提供应用独立地建立信道。换言之，包括在AVN系统200中的车辆信息提供应用可通过单独的车辆专用数据信道发送和接收车内信息及车辆控制指令。

除了诸如液晶显示器(LCD)的用于控制AVN功能的显示设备、诸如扬声器的音频设备以及诸如按键按钮和飞梭转盘的输入设备以外，硬件层260可包括诸如控制器局域网(CAN)模块的用于车辆中的通信的车内通信模块、用于与外部用户设备通信的通用串行总线(USB)端口、Wi-Fi通信模块以及蓝牙通信模块等。

AVN系统可通过车内通信收集各类车辆状态信息。车辆状态信息的实例可包括：驾驶信息、燃料效率信息、故障信息、转向信息、方向盘控制信息、轮胎充气压力信息、发动机油状态信息、燃料状态信息、空调设备信息等。然而，本公开不限于此，并且有可能包括从包括在车辆中的各种控制器可收集的所有信息。

图3是用于描述根据本公开的实施方式的提供车辆AVN系统与智能电话之间的链接中的车辆专用数据信道的安全性服务的方法的示图。

参考图3，在S301中，当验证智能电话的连接时，AVN系统可执行针对包括在智能电话中的车辆信息管理应用的完整性验证过程。

在S302中，当成功验证车辆信息管理应用的完整性时，AVN系统可通过经验证的车辆信息管理应用执行针对包括在智能电话中的操作系统的完整性验证过程。

当在S301中用于车辆信息管理应用的完整性验证失败时，AVN系统可中断智能电话使用车辆专用数据信道。

此外，当在S302中针对包括在智能电话中的操作系统的完整性验证失败时，AVN系统可中断智能电话使用车辆专用数据信道。

当在S302中成功验证操作系统的完整性时，在S303中，AVN系统可使用非对称密钥执行在AVN系统中随机产生的明码对称密钥的交换过程。本文中，用在AVN系统中的非对称密钥可包括保持在AVN系统中的AVN私钥以及智能电话公钥。另一方面，用于智能电话中的明码对称密钥的交换过程的非对称密钥可包括AVN公钥和智能电话私钥。将参考图5详细描述明码对称密钥的交换过程。

当AVN系统成功交换明码对称密钥时，AVN系统可建立至智能电话的车辆专用数据信道，并且通过建立的车辆专用数据信道发送和接收数据。在这种情况下，在发送端加密和发送通过车辆专用数据信道发送的数据包。在S304中，接收端可解密所接收的数据包以检测MITM攻击。

具体地，AVN系统可通过实时调制交换的明码对称密钥加密要发送的数据包，并且随后通过车辆专用数据信道将加密数据包发送至智能电话。此外，当通过车辆专用数据信道接收数据包时，AVN系统可通过实时调制所交换的明码对称密钥来解密所接收的数据包，并且通过每个数据包的散列验证来检测MITM攻击。通过参考图6至图9的以下描述，通过每个数据包的散列验证来检测MITM攻击可变得更清晰。

当在S304中检测到MITM攻击时，AVN系统可阻挡所建立的车辆专用数据信道的使用或取消所建立的车辆专用数据信道。

图4是用于描述针对包括在智能电话420中的应用软件和操作系统423的完整性验证过程的示图。

参考图4，车辆头部单元410包括车辆信息提供模块411、外部通信模块412、MITM攻击检测模块413、车内通信模块414等。

智能电话420可包括完整性验证模块421、车辆信息管理应用422、操作系统423、以及通信模块424。

当确认智能电话420的连接时，车辆信息提供模块411可向智能电话420发送完整性验证请求消息以验证车辆信息管理应用422和操作系统423的完整性。

智能电话420的通信模块424可直接地或者通过操作系统423向完整性验证模块421发送所接收的完整性验证请求消息。

完整性验证模块421可验证车辆信息管理应用422的完整性。

当成功验证车辆信息管理应用422的完整性时，完整性验证模块421可执行控制操作，使得车辆信息管理应用422验证操作系统423的完整性。

车辆信息管理应用422可验证操作系统423的完整性，并且通过操作系统423和/或通信模块424向车辆头部单元410发送完整性验证的结果。

当车辆信息管理应用422的完整性验证失败时，完整性验证模块421可通过操作系统423和/或通信模块424向车辆头部单元410发送表示车辆信息管理应用422无效的预定完整性验证结果消息。

车辆信息提供模块411可基于通过外部通信模块412接收的完整性验证结果消息来验证车辆信息管理应用422和/或操作系统423是否有效。

当车辆信息提供模块411确认车辆信息管理应用422和操作系统423有效时，车辆信息提供模块411可建立至车辆信息管理应用422的车辆专用数据信道，并且通过建立的车辆专用数据信道发送和接收数据包。

当车辆信息提供模块411确认车辆信息管理应用422和操作系统423中的至少一个无效时，车辆信息提供模块411可中断至智能电话420的车辆专用数据信道的建立。

当从外部通信模块412接收经加密的数据包时，MITM攻击检测模块413可解密该数据包并且基于经解密的数据包检测MITM攻击。

当检测到MITM攻击时，MITM攻击检测模块413可向车辆信息提供模块411发送表示黑客出现的预定黑客出现报告消息。在这种情况下，车辆信息提供模块411可根据黑客出现报告消息取消所建立的车辆专用数据信道。

当未检测到MITM攻击时，MITM攻击检测模块413可向车辆信息提供模块411递送经解密的数据包。

车辆信息提供模块411可根据从车辆信息管理应用422接收的预定控制指令加密通过车内通信模块414收集的各类车辆信息，并且随后通过外部通信模块412向车辆信息管理应用422发送加密信息。在这种情况下，用于发送车辆信息的的道对应于上述车辆专用数据信道。

图5示出了根据本公开的实施方式的用于车辆专用数据信道的加密的明码对称密钥的交换的过程。

参考图5，在S501和S502中，智能电话公钥(S_public_key)和AVN私钥(AVN_private_key)可保持在车辆头部单元510中，并且AVN公钥(AVN_public_key)和智能电话私钥(S_private_key)可保持在智能电话520中。

在S503中，车辆头部单元510可通过向预定对称密钥生成函数输入随机种子值而生成明码对称密钥。本文中，明码对称密钥的长度可为128位。然而，本公开不限于此。

在S504和S505中，车辆头部单元510可使用智能电话公钥加密所生成的明码对称密钥，并且随后向智能电话520发送加密的明码对称密钥。

在S506至S508中，智能电话520可使用智能电话私钥解密所加密的明码对称密钥，使用AVN公钥再次加密所解密的明码对称密钥，并且向车辆头部单元510发送经加密的明码对称密钥。

在S509和S510中，车辆头部单元510可使用AVN私钥解密使用AVN公钥加密的明码对称密钥，并且验证所解密的明码对称密钥是否与在S503中生成的明码对称密钥相同。

当作为验证的结果，解密的明码对称密钥与在S503中生成的明码对称密钥相同时，在S511中，车辆头部单元510可建立车辆专用数据信道，并且发送和接收使用所交换的明码对称密钥加密的数据包。

当作为在S510中的验证结果，解密的明码对称密钥与在S503中生成的明码对称密钥不相同时，车辆头部单元510可确定明码对称密钥的交换失败，并且在S512中输出表示明码对称密钥的交换失败的预定引导消息。

图6和图7是用于描述根据本公开的实施方式的在发送端加密和发送待发送的数据包的方法的示图。

参考图6，在S601中，发送端可将初始待发送的数据包划分为具有预定大小的块，使用第一明码对称密钥K1加密划分块，并且随后使用空数据填充加密块以发送块。本文中，发送端可与车辆头部单元或智能电话对应。

在S602中，发送端可根据预定规则将第一明码对称密钥K1改变为第二明码对称密钥K2。换言之，发送端可基于每次发送数据包时的预定规则实时改变明码对称密钥。例如，可通过向预定对称密钥生成函数输入第一明码对称密钥K1来获得第二明码对称密钥K2。

在S603中，在将随后待发送的数据包划分为具有预定大小的块之后，发送端可使用第二明码对称密钥K2加密划分块，由数据(该数据是通过使用第一明码对称密钥K1对划分块进行散列而生成的)填充使用第二明码对称密钥K2加密的块的后面部分，并且发送块。

将参考图7详细描述图6的在发送端的数据包加密过程。

参考图7，在S701和S702中，当从上层接收数据包时，发送端可通过将先前交换的第一明码对称密钥K1作为输入值输入至预定函数而生成第二明码对称密钥K2。

在S703和S704中，发送端可将所接收的数据包划分为具有预定长度的n个块，并且使用第二明码对称密钥K2加密各个块。

例如，每个块可具有与第二明码对称密钥K2相同的长度，并且可生成通过对块以及第二明码对称密钥K2执行异或OR运算而加密的块。然而，应注意，这仅是示例，并且可应用另一加密方案。

在S706中，发送端可通过使用第一明码对称密钥K1加密(散列)每个块来填充数据，并且如S707所示，通过向S704和S705中生成的加密块的每一个插入生成的填充数据而生成加密数据包。

在S708中，发送端可通过提前建立的车辆专用数据信道向接收端发送所加密的数据包。

图8和图9是用于描述根据本公开的实施方式的解密由接收端接收的数据包的方法的示图。

参考图8，在S801中，当最初通过车辆专用数据信道接收数据包时，接收端可从接收数据包中提取加密块，并且使用先前交换的第一明码对称密钥K1解密所提取的块。本文中，接收端可与车辆头部单元或智能电话对应。

在S802和S803中，接收端可通过向预定对称密钥生成函数输入第一明码对称密钥K1而获得第二明码对称密钥K2，并且通过第二明码对称密钥K2解密随后接收的数据包中的加密块来提取第一数据。例如，对称密钥生成函数可与具有预定长度的移位寄存器对应，并且当存储在移位寄存器中的值在每次接收一数据包时循环移位1位时，可生成新的明码对称密钥。换言之，在每次发送和接收数据包时可调制明码对称密钥，并且因此车辆专用数据信道的安全性可加强。又例如，接收端可根据预定规则使用第一明码对称密钥K1调制第二明码对称密钥K2。

在S804中，接收端可通过使用第一明码对称密钥K1解密连接至加密块的填充数据来提取第二数据。

随后，在S805中，接收端可验证第一数据与第二数据是否相同。

当作为验证的结果，第一数据与第二数据相同时，在S806中，接收端可通过连接第一数据而生成数据包，并且随后向上层递送生成的数据包。在这种情况下，可保持建立的车辆专用数据信道。

当作为S805中的验证结果，第一数据与第二数据不相同时，在S807中，接收端可丢弃数据包并且中断所建立的车辆专用数据信道的使用。例 如，当第一数据与第二数据不相同时，接收端可确定在智能电话的操作系统端出现MITM攻击，并且取消所建立的车辆专用数据信道。

在下文中，将参考图9详细描述图8的在接收端的数据包解密过程。

参考图9，在S901至S903中，当通过车辆专用数据信道接收数据包时，接收端可提取包括在所接收的数据包中的加密块，通过使用第二明码对称密钥K2解密所提取的加密块来提取第一数据，并且通过使用第一明码对称密钥K1解密对应于加密块的插入填充来提取第二数据。

在S904中，接收端可验证第一数据与第二数据是否相同。

当作为验证的结果，第一数据与第二数据相同时，接收端可移去每个加密块的插入填充，生成连接至第一数据的数据包，并且随后在S905和S906中，向上层递送生成的数据包。在这种情况下，可保持建立的车辆专用数据信道。

当作为在S904中的验证结果，第一数据与第二数据不相同时，在S907中，接收端可丢弃所接收的数据包并且中断建立的车辆专用数据信道的使用。例如，当第一数据与第二数据不相同时，接收端可确定在智能电话的操作系统端出现MITM攻击，并且取消建立的车辆专用数据信道。

以下描述根据本公开的方法和装置的效果。

本公开具有如下优势：提供了一种用于提供车辆头部单元与外部终端之间的链接中的车辆专用数据信道的安全性服务的方法和装置。

此外，本公开具有如下优势：提供了一种用于提供车辆头部单元与外部终端之间的链接中的车辆专用数据信道的安全性服务的方法和装置，该方法和装置能够通过验证包括在外部终端中的应用软件和操作系统的完整性来禁止通过伪造或篡改的应用软件和操作系统的非法入侵的尝试。

此外，本公开具有如下优势：提供了一种用于提供车辆头部单元与外部终端之间的链接中的车辆专用数据信道的安全性服务的方法和装置，该方法和装置除了通过加密经由车辆专用数据信道发送的数据包来保持车辆安全性数据的机密性以外，还能够检测数据包是否被非法入侵，即，是否出现中间人(MITM)攻击。

可以从本公开获得的效果不限于上述效果，并且本领域的技术人员可从以上描述中清晰地理解未提及的其他效果。

本领域技术人员将理解，在不偏离本公开的精神和本质特征的情况下，可以不同于本文中阐述的那些方式的其他具体方式来实现本公开。

因此，被解释为所有方面的以上示例性实施方式是解释性的，而非限制性的。本公开的范围应当通过所附权利要求及其合法等同物确定，而不是通过以上描述确定，并且落在所附权利要求的含义和等同范围内的所有变化旨在包含在其中。