待传输数据序列的安全传输的制作方法
【专利摘要】待传输数据序列的安全传输。本发明涉及一种用于传输包括数据块的待传输数据(100)的序列的方法,其中针对数据块(101)形成第一鉴权数据(111)和与第一鉴权数据不同的第二鉴权数据(121),其中所述数据块(101)、第一鉴权数据(111)和第二鉴权数据(121)被传输到接收器,该接收器能够借助所接收的第一鉴权数据(111)检验所接收的数据块(101)的有效性并且借助所接收的第二鉴权数据(121)检验所接收的第一鉴权数据(111)的有效性。
【专利说明】待传输数据序列的安全传输
【技术领域】
[0001] 本发明涉及一种用于传输待传输数据的序列的方法。
[0002] 虽然下面基本上参照传感器数据向发动机控制设备的传输来描述本发明,本发明 不限于该应用,而是总是可有利地在应当保护待传输数据序列的安全的情况下应用,尤其 是在发生连续或定期的数据传输情况下。除了传输内燃机的传感器数据之外,还可以在一 般化的嵌入式领域中找到其它应用,例如在汽车中的其它控制设备(车身计算机,驾驶员辅 助计算机,…)情况下或者在汽车领域之外的应用中,这些应用或者需要持久的传感器通信 (例如火灾报警设备等)或者一般地需要连续通信(不仅仅与参与的传感器)。
【背景技术】
[0003] 内燃机的发动机控制设备的任务在于根据例如转速、温度或压力的大量输入信号 来计算用于诸如喷射喷嘴或点火设备的调节机构的输出参量。因此对于由控制设备操控的 内燃机的安全运行来说必要的是由控制设备接收的输入信号是正确的。例如应当可以识别 出数据传输中的干扰。
[0004] 另一方面涉及用于功率升高的输入信号改变(所谓的调谐)。为此按照会导致机器 的功率升高的方式来改变输入信号。例如,在内燃机的情况下可以人为减少压力传感器的 传感器值(在共轨中的未授权复制,吸气管中的空气压力等),使得控制设备以提高压力并 且由此以升高功率来反应。
[0005] 错误的数据传输以及所述调谐都与显著的风险相关联。例如,过高的温度、压力和 转速以及驱动支路和制动设备的提高的负荷可能导致缺陷。此外可能出现废气值的恶化。 出于这个原因期望保证正确的数据传输。
[0006] 在该背景下,在DE 10 2009 002 396 A1中描述了一种用于安全传输传感器数据 的方法,其中借助MAC方法(英文:Message Authentication Code (消息鉴权代码))来传输 传感器数据。为了在此情况下防止所谓的重放攻击--在重放攻击的情况下绘出较早的值 并且在稍后的时刻被重新发送,用单独的附件(例如时间代码或事先由控制设备在传感器 处求得的随机值)来扩展传感器数据。其缺点是:一方面传感器必须具有高度精确的时间 源或者另一方面必须具有用于从控制设备接收数据的可能性。
[0007] 期望能提供一种用于安全传输待传输数据、尤其是传感器数据的序列的方法,该 方法也可以在例如传感器的没有所述可能性的简单通信设备情况下使用。
【发明内容】
[0008] 根据本发明提出一种具有权利要求1的特征的用于传输待传输数据序列的方法, 所述待传输数据包括数据块。有利的构型是从属权利要求以及以下描述的主题。
[0009] 本发明的优点 本发明基本上用于(至少部分地)借助至少两个不同的鉴权数据来保护例如可以由多 个传感器值组成的数据块的安全,所述鉴权数据优选被形成为MAC。在此,在鉴权数据中直 接或间接地经由其它鉴权数据来进行多个数据块的逻辑关联。其优点是:只有相关联的数 据流才导致有效的鉴权数据。
[0010] 由此例如可以轻松识别重放攻击,因为旧的、已经发送的数据块与其鉴权数据一 起不与当前数据块存在正确的关联。
[0011] 根据本发明的第一方面,设置第一类型鉴权数据的第一层面和第二和/或第三类 型鉴权数据的第二层面。第二类型鉴权数据针对多个数据块形成,第三类型鉴权数据针对 多个第一类型鉴权数据形成。每个第一类型鉴权数据又针对待传输的数据块形成。这导致 用正确的MAC (=第一类型鉴权数据)识别单个或多个数据块本身的更换和/或插入,因为 上级MAC (=第二类型鉴权数据)是不同的。
[0012] 根据本发明的另一方面,可以形成第四类型鉴权数据,其中第四类型的第一鉴权 数据和第四类型的第二鉴权数据(至少部分地)针对同一个数据块形成。例如,第四类型的 第一鉴权数据可以针对第一数据块和针对第二数据块的至少一个数据形成,第四类型的第 二鉴权数据针对第二数据块和针对第三数据块的至少一个数据形成等等。第一和第二数据 块在此不是相同的数据块。如果这继续下去,则产生数据块和鉴权数据的不中断链,其中另 一数据块的更换和/或插入使得所参与的鉴权数据错误。
[0013] 根据本发明的另一方面,可以形成第五类型鉴权数据,其中在每个第五类型鉴权 数据中引入一个数据块和第五类型的另一鉴权数据。在该实施方式中可以毫无困难地识别 出数据块的插入和/或更换。
[0014] 根据本发明的另一方面规定,附加于数据块的至少两个计数值被用于计算所属的 鉴权数据。在此随机地预先给定至少两个计数值中至少一个的起始值。这些计数值通常在 数据传输开始时,也就是例如在控制设备接通时被置位。这些计数值在运行期间针对每个 数据块增加。该构型的结果是:至少两个计数值的特定组合不太可能出现第二次。通过这 种方式也可以简单地防止重放攻击。
[0015] 被构造为传感器、例如压力传感器的本发明计算单元(例如在机动车中)尤其是在 编程技术上被设计为执行本发明的方法。
[0016] 以软件形式来实现该方法也是有利的,因为这特别导致小的成本,尤其是当进行 实施的控制设备还被用于其它任务并且因此无论如何都会存在时。用于提供计算机程序的 合适数据载体尤其是磁盘、硬盘、闪速存储器、EEPR0M、⑶-ROM、DVD等。经由计算机网络(互 联网,企业内联网等)下载程序也是可能的。
[0017] 本发明的其它优点和构型由说明书和附图得出。
[0018] 应当理解,上面提到和下面还要阐述的特征不仅能以分别说明的组合,而且还能 以其它组合或单独使用,而不脱离本发明的范围。
[0019] 借助附图中的实施例示意性示出本发明并且在下面参照附图详细描述本发明。
【专利附图】
【附图说明】
[0020] 图1示意性示出根据本发明第一实施方式的传感器数据和鉴权数据。
[0021] 图2示意性示出根据本发明第二实施方式的传感器数据和鉴权数据。
[0022] 图3示意性示出根据本发明第三实施方式的传感器数据和鉴权数据。
【具体实施方式】
[0023] 在图中示意性示出待传输的数据,这些数据根据本发明的不同实施方式得出。在 此相同的元件被设置有相同的附图标记。
[0024] 待传输数据的每一个都包含由传感器数据块101,102,103,…组成的传感器数据 100。每个传感器数据块可以由一个或多个传感器数据值--例如压力值等--组成。
[0025] 在图1中所示出的实施方式中,针对每个传感器数据块101形成在此构造为MAC 的第一鉴权数据111,112,113,…。在此可以采用常规的、尤其是基于块密码或基于哈希函 数的方法。这样的第一鉴权数据被称为第一类型鉴权数据。在所示出的例子中,对每个完 整的或封闭的传感器数据块形成一个第一类型鉴权数据。
[0026] 此外在此同样形成被构造为MAC的第二鉴权数据121,122,···,其中每个第二鉴权 数据直接针对至少两个传感器数据块101,102,103···并且由此间接地也针对至少两个第一 鉴权数据形成。这样的第二鉴权数据称为第二类型鉴权数据。第二类型鉴权数据可以针对 多个完整的传感器数据块或者仅针对多个传感器数据块的一部分形成。
[0027] 替换地,每个第二鉴权数据可以直接针对至少两个第一鉴权数据以及由此间接地 也针对至少两个传感器数据块101,102,103···形成。这样的第二鉴权数据称为第三类型鉴 权数据。第三类型鉴权数据可以针对多个完整的第一类型鉴权数据或者仅针对多个第一类 型鉴权数据的一部分形成。
[0028] 在所示出的优选实施方式中,还针对特定的第一类型鉴权数据形成至少两个第二 类型鉴权数据,如在图1中针对第一类型鉴权数据117在两个第二类型鉴权数据121和122 之间的边界处示出的。这对每一相邻的第二类型鉴权数据对重复,使得可以保证传感器数 据块101,102,103…的不中断传输。两个相邻的第二类型鉴权数据可以分别针对完整的传 感器数据块或者针对传感器数据块的相同或不同部分形成。
[0029] 在图2中示出的实施方式中,作为第一和第二鉴权数据211,212, 213…设置相同 类型的第四类型鉴权数据,第四类型鉴权数据在此同样被形成为MAC。但是与图1中所示 出的第一类型鉴权数据不同,第四类型鉴权数据不是针对封闭的传感器数据块101,102, 103…形成的,而是在每个第四类型鉴权数据中引入至少一个来自第一传感器数据块(在此 是当前传感器数据块)的传感器数据和来自第二传感器数据块(在此是前一传感器数据块) 的传感器数据。由此(至少部分地)针对两个不同的传感器数据块形成第四类型鉴权数据。 优选地,在第四类型鉴权数据中引入完整的当前传感器数据块。因此这样做的结果是:借助 作为来自前一传感器数据块的传感器数据进入下一鉴权数据的传感器数据实现在两个相 继的鉴权数据之间的逻辑关联。至少一个传感器数据必须引入两个第四类型鉴权数据中, 以保证逻辑关联。通过这种方式也可以保证不中断的传感器数据传输。
[0030] 最后在图3中示出一种实施方式,其中第一和第二鉴权数据312, 313, 314…被构 造为相同类型的第五类型鉴权数据。
[0031] 第五类型鉴权数据312,313,31心"分别针对所属的传感器数据块102,103?以及 分别针对前一第五类型鉴权数据311,312, 313···(以及由此间接地还针对前一传感器数据 块)形成。通过这种方式也可以保证不中断的传感器数据传输。
[0032] -般地,在本发明的范围内可以总是借助鉴权数据来检验传感器数据的有效性, 并且反之亦然。因此如果在传感器数据块、即第一鉴权数据与第二鉴权数据之间的不一致 被确定,则可以丢弃这些传感器数据块或者将其标识为无效,而不需明确确定所参与的数 据中哪些最终改变了。内燃发动机可以在这种情况下例如被切换到紧急运行中或者仅仅存 储对操纵的识别,以便能够在可能的稍后对想象的保证声明的强制执行中使用该识别。
【权利要求】
1. 用于传输包括数据块的待传输数据(100)的序列的方法,其中针对数据块(ιο?)形 成第一鉴权数据(111 ;211 ;311)和与第一鉴权数据不同的第二鉴权数据(121 ;212 ;312), 其中所述数据块(101)、第一鉴权数据(111 ;211 ;311)和第二鉴权数据(121 ;212 ;312)被 传输到接收器,该接收器能够借助所接收的第一鉴权数据(111 ;211 ;311)检验所接收的数 据块(101)的有效性并且借助所接收的第二鉴权数据(121 ;212 ;312)检验所接收的第一鉴 权数据(111 ;211 ;311)的有效性。
2. 根据权利要求1所述的方法,其中所述接收器能够借助所接收的第一鉴权数据 (111 ;211 ;311)和/或借助所接收的第二鉴权数据(121 ;212 ;312)单单检验所接收的数据 块(101)的有效性。
3. 根据权利要求1或2所述的方法,其中所述接收器能够借助所接收的第二鉴权数据 (121 ;312)单单检验所接收的第一鉴权数据(111 ;311)的有效性。
4. 根据前述权利要求之一所述的方法,其中第二鉴权数据(121 ;212;312)针对两个数 据块(101,102)被形成。
5. 根据前述权利要求之一所述的方法,其中第一和/或第二鉴权数据(121 ;212;312) 是消息鉴权代码。
6. 根据前述权利要求之一所述的方法,其中第一和/或第二鉴权数据针对所述数据块 (101)和针对至少两个计数值形成,其中随机地预先给定至少两个计数值中的至少一个的 起始值。
7. 根据前述权利要求之一所述的方法,其中第一鉴权数据是针对所述数据块(101)形 成的第一类型鉴权数据(111),以及其中第二鉴权数据是针对所述数据块(101)和至少一 个其它数据块(102,103)形成的第二类型鉴权数据(121)。
8. 根据权利要求7所述的方法,其中针对至少一个数据块(101)形成两个第二类型鉴 权数据(121,122)。
9. 根据权利要求1至6之一所述的方法,其中第一鉴权数据是针对所述数据块(101) 形成的第一类型鉴权数据(111),以及其中第二鉴权数据是针对第一类型鉴权数据(111) 形成的第三类型鉴权数据(121)。
10. 根据权利要求9所述的方法,其中第三类型鉴权数据(121)针对多于一个第一类型 鉴权数据(111,112,133,…)被形成。
11. 根据权利要求9或10所述的方法,其中针对至少一个第一类型鉴权数据(117)形 成两个第三类型鉴权数据(121,122)。
12. 根据权利要求1至6之一所述的方法,其中第一鉴权数据和第二鉴权数据分别是第 四类型鉴权数据(212,213),其中第四类型鉴权数据(212,213)针对两个不同数据块(101, 102 ;102,103)被形成。
13. 根据权利要求1至6之一所述的方法,其中第一鉴权数据和第二鉴权数据分别是第 五类型鉴权数据(312, 313),其中第五类型的第一鉴权数据(313)针对一个数据块(103)和 第五类型的第二鉴权数据(312)形成的。
14. 根据前述权利要求之一所述的方法,其中尤其是在机动车中,内燃机的传感器的测 量值被作为待传输的数据(100)传输。
15. 用于传输包括数据块的待传输数据的序列的方法,其中针对一个数据块和至少两 个计数值形成第一鉴权数据,其中随机地预先给定至少两个计数值中至少一个的起始值, 其中该数据块和第一鉴权数据被传输给接收器,该接收器能够借助所接收的第一鉴权数据 和至少两个计数值检验所接收的数据块的有效性。
16. 计算单元,其被设计为执行根据前述权利要求之一所述的方法。
17. 具有根据权利要求16所述的计算单元的内燃机。
18. 具有程序代码装置的计算机程序,当所述程序代码装置在尤其是根据权利要求16 的计算单元上实施时促使该计算单元执行根据权利要求1至15之一所述的方法。
19. 具有存储在其上的根据权利要求18所述的计算机程序的机器可读存储介质。
【文档编号】H04L1/00GK104158621SQ201410196983
【公开日】2014年11月19日 申请日期:2014年5月12日 优先权日:2013年5月13日
【发明者】M.刘易斯, B.格拉斯 申请人:罗伯特·博世有限公司