为车辆诊断数据建立安全的通信的制作方法
【技术领域】
[0001]本发明涉及为车辆诊断数据的通信建立安全通信。
【背景技术】
[0002]国际标准化组织(ISO)是公认的行业标准权威。IS0-14229规定了使诊断测试器或者测试设备能够控制在车辆电子控制单元(ECU)中的诊断功能的诊断服务的数据链路要求;例如,与电子燃油喷射相关联的ECU、自动化变速箱组件、防抱死制动系统等。当诊断测试设备与一个或多个ECU通过接口连接时,测试设备控制通过数据链路进行的通信,例如,控制是否要停止、暂停或者重新开始通信。
【发明内容】
[0003]根据本发明的实施例,提供了一种在车辆处建立安全诊断会话的方法。所述方法包括以下步骤:将来自电子控制单元(E⑶)的种子值(seed value)提供至车辆诊断工具;确定在所述诊断工具、耦合至所述诊断工具的远程服务器、或者两者处的第一挑战响应,其中,通过使用密钥导出函数的一次或多次迭代和所述种子值来计算所述第一挑战响应;向所述ECU提供所述第一挑战响应;以及,如果在所述ECU处验证了所述第一挑战响应,则在所述诊断工具与所述ECU之间进行诊断会话。
[0004]根据本发明的另一实施例,提供了一种在车辆处建立安全诊断会话的方法。所述方法包括以下步骤:在远程服务器处经由车辆诊断工具接收由耦合至车辆总线的车辆电子控制单元(ECU)生成的种子值,其中,所述种子值用于向所述ECU认证所述诊断工具;通过使用存储在所述远程服务器处的第一唯一输入和所述种子值来确定会话密钥;通过使用在所述服务器或者所述诊断工具中的其中一个处的所述会话密钥来确定第一挑战响应;向所述ECU提供所述第一挑战响应;以及,如果在所述ECU处验证了所述第一挑战响应,则在所述诊断工具与所述ECU之间进行诊断会话。
[0005]本发明还公开了以下方案。
[0006]方案1.一种在车辆处建立安全诊断会话的方法,其包括以下步骤:
(a)将来自电子控制单元的种子值提供至车辆诊断工具;
(b)确定在所述车辆诊断工具、耦合至所述车辆诊断工具的远程服务器或者两者处的第一挑战响应,其中,通过使用密钥导出函数的一次或多次迭代和所述种子值来计算所述第一挑战响应;
(c)向所述电子控制单元提供所述第一挑战响应;以及
(d)如果在所述电子控制单元处验证所述第一挑战响应,则在所述车辆诊断工具与所述电子控制单元之间进行诊断会话。
[0007]方案2.根据方案1所述的方法,其中,在步骤(a)之前,向所述电子控制单元并向所述车辆诊断工具或者所述远程服务器中的一者提供第一唯一输入。
[0008]方案3.根据方案1所述的方法,其中,所述电子控制单元和所述远程服务器或者所述车辆诊断工具中的至少一者配置为在步骤(a)之前执行所述密钥导出函数。
[0009]方案4.根据方案2所述的方法,其中,所述密钥导出函数的第一迭代通过使用所述种子值和所述第一唯一输入产生第一会话密钥,并且其中,所述密钥导出函数的第二迭代通过使用第二唯一输入和所述会话密钥产生所述第一挑战响应。
[0010]方案5.根据方案4所述的方法,其中,步骤(d)的所述验证包括:计算在所述电子控制单元处的第二挑战响应并且比较所述第一挑战响应和所述第二挑战响应。
[0011]方案6.根据方案5所述的方法,其中,步骤(d)的所述验证进一步包括:
(dl)基于所述种子值和所述第一唯一输入,通过使用所述密钥导出函数来确定在所述电子控制单元处的第二会话密钥;以及
(d2)基于所述第二会话密钥和所述第二唯一输入,通过使用所述密钥导出函数来确定所述第二挑战响应,其中,所述第二唯一输入存储在所述电子控制单元处。
[0012]方案7.根据方案5所述的方法,其中,所述远程服务器或者所述车辆诊断工具在所述电子控制单元确定所述第二挑战响应之前确定所述第一挑战响应。
[0013]方案8.根据方案1所述的方法,其中,在所述车辆诊断工具与所述远程服务器之间的通信是通过安全互联网连接进行的。
[0014]方案9.一种在车辆处建立安全诊断会话的方法,其包括以下步骤:
(a)在远程服务器处并经由车辆诊断工具接收由耦合至车辆总线的车辆电子控制单元生成的种子值,其中,所述种子值用于向所述电子控制单元认证所述车辆诊断工具;
(b)通过使用存储在所述远程服务器处的第一唯一输入和所述种子值来确定会话密钥;
(c)通过使用在所述服务器或者所述车辆诊断工具中的其中一者处的所述会话密钥来确定第一挑战响应;
(d)向所述电子控制单元提供所述第一挑战响应;以及
(e)如果在所述电子控制单元处验证所述第一挑战响应,则在所述车辆诊断工具与所述电子控制单元之间进行诊断会话。
[0015]方案10.根据方案9所述的方法,其中,所述第一唯一输入也存储在所述电子控制单元处,其中,所述电子控制单元通过使用存储在所述电子控制单元处的所述第一唯一输入和由所述电子控制单元生成的所述种子值来验证所述诊断会话。
[0016]方案11.根据方案10所述的方法,其中,所述电子控制单元迭代地使用密钥导出函数来确定第二挑战响应。
[0017]方案12.根据方案11所述的方法,其中,所述电子控制单元通过执行步骤(f)和步骤(g)来确定所述第二挑战响应,其中,所述服务器、所述车辆诊断工具或者两者通过执行所述步骤(f)和所述步骤(g)来确定所述第一挑战响应,其中,所述步骤(f)和所述步骤(g)包括:
(f)基于存储在所述服务器或者所述电子控制单元处的所述第一唯一输入和所述种子值,通过使用所述密钥导出函数来确定会话密钥;以及
(g)基于所述会话密钥和第二唯一输入,通过使用所述密钥导出函数来确定所述第一或者第二挑战响应。
[0018]方案13.根据方案11所述的方法,其中,所述服务器或者所述车辆诊断工具在所述电子控制单元确定所述第二挑战响应之前确定所述第一挑战响应。
[0019]方案14.根据方案9所述的方法,其中,在所述车辆诊断工具与所述远程服务器之间的通信是通过安全互联网连接进行的。
【附图说明】
[0020]在下文中将结合附图对本发明的一个或多个实施例进行描述,其中,类似的标号表示类似的元件,以及其中:
图1是描绘了车辆通信系统的实施例的示意图;
图2是在图1中示出的车辆通信系统的一部分的实施例;
图3是描绘了恶意攻击者可能如何突破图1的车辆通信系统的示意图;
图4是图示了为诊断会话建立会话密钥的方法的流程图;
图5是图示了为诊断会话建立会话密钥的另一方法的流程图;
图6是图示了为诊断会话建立会话密钥的另一方法的流程图;
图7是图示了密钥导出函数(KDF)的输入和输出的示意图;以及图8是图示了另一 KDF的输入和输出的示意图。
【具体实施方式】
[0021]下面所描述的(一种或多种)方法涉及关于车辆诊断系统的车辆安全。更具体地说,该(一种或多种)方法涉及保护或者保全通过在车辆内的电子控制单元(ECU)携带并且存储的敏感信息免受恶意攻击者攻击。EOT通常彼此互连并且经由车辆网络(例如,使用控制器局域网(CAN)协议的总线)彼此通信。另外,(一个或多个)ECU可以遵守并且/或者符合车辆诊断协议。最近,恶意攻击者已经确定如何操纵诊断协议来访问通过ECU携带的敏感信息。如下面将阐释的,通过使用该敏感信息,恶意攻击者可以擅自访问车辆、擅自启动车辆、擅自控制车辆移动、或者擅自访问合法用户的私人信息,仅略举数例。
[0022]下面所描述的(一种或多种)方法更具体地涉及增强在诊断会话建立期间的安全性。在诊断会话发起期间,诊断工具连接至车辆的总线并且由此与一个或多个电子控制单元(ECU)通信。通过ECU存储的数据可以包括敏感信息或者机