车辆电子控制单元之间的身份认证方法和装置及设备与流程

本公开一般涉及计算机技术领域，具体涉及信息处理安全领域，尤其涉及一种车辆电子控制单元之间的身份认证方法和装置。

背景技术：

一台车辆的电子控制单元(ECU)有上百个。ECU和普通的电脑一样,由微处理器(CPU)、存储器(ROM、RAM)、输入/输出接口(I/O)、模数转换器(A/D)以及整形、驱动等大规模集成电路组成。

通过将安装在车辆上的多个ECU经由网络相互连接，能够配置出能够交换ECU具有的信息(车辆信息)的车辆网络系统。在车辆网络系统中，经由网络连接的ECU能够容易地交换车辆信息。但是，也容易将连接到网络的ECU拆卸，或者错误地将一个未被授权的ECU附连到网络。当访问一个未被授权的新接入或错误地接入的ECU时，车辆网络系统的安全就会受到影响，容易泄露车辆信息。

因此，需要一种对ECU之间的通信进行认证从而防止车辆信息泄密的技术。

技术实现要素：

鉴于现有技术中的上述缺陷或不足，期望提供一种能够对ECU之间的通信进行认证从而防止车辆信息泄密的方案。

第一方面，本申请实施例提供了一种车辆电子控制单元之间的身份认证方法，所述方法包括：判断从消息发送电子控制单元接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包，其中，所述认证序号是在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元的序号；如果接收到的消息含有认证序号、消息发送电子控制单元标识，将认证序号、消息发送电子控制单元标识发送到认证中心，以基于认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行认证；响应于接收到来自认证中心的认证通过消息，打开消息正文包。

第二方面，本申请实施例提供了一种车辆电子控制单元之间的身份认证方法，所述方法包括：从消息接收电子控制单元接收认证序号和消息发送电子控制单元标识，其中，所述认证序号在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元，并由消息发送电子控制单元连同消息发送电子控制单元标识发送到消息接收电子控制单元；基于发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录，对接收的认证序号和消息发送电子控制单元标识进行认证；如认证通过，向消息接收电子控制单元发送认证通过消息。

第三方面，本申请实施例提供了一种车辆电子控制单元之间的身份认证方法，所述方法包括：向认证中心发送认证序号请求；在认证中心对消息发送电子控制单元标识验证通过的情况下，接收来自认证中心的认证序号；向消息接收电子控制单元发送带有认证序号、消息发送电子控制单元标识、以及消息正文包的消息，以便消息接收电子控制单元将认证序号、消息发送电子控制单元标识发送到认证中心认证，并在认证通过后，打开消息正文包。

第四方面，本申请实施例提供了一种车辆电子控制单元之间的身份认证装置，所述装置包括：判断单元，配置用于判断从消息发送电子控制单元接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包，其中，所述认证序号是在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元的序号；第一发送单元，配置用于如果接收到的消息含有认证序号、消息发送电子控制单元标识，将认证序号、消息发送电子控制单元标识发送到认证中心，以基于认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行认证；打开单元，配置用于响应于接收到来自认证中心的认证通过消息，打开消息正文包。

第五方面，本申请实施例提供了一种车辆电子控制单元之间的身份认证装置，所述装置包括：第一接收单元，配置用于从消息接收电子控制单元接收认证序号和消息发送电子控制单元标识，其中，所述认证序号在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元，并由消息发送电子控制单元连同消息发送电子控制单元标识发送到消息接收电子控制单元；认证单元，配置用于基于发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录，对接收的认证序号和消息发送电子控制单元标识进行认证；第二发送单元，配置用于如认证通过，向消息接收电子控制单元发送认证通过消息。

第六方面，本申请实施例提供了一种车辆电子控制单元之间的身份认证装置，所述装置包括：第四发送单元，配置用于向认证中心发送认证序号请求；第三接收单元，配置用于在认证中心对消息发送电子控制单元标识验证通过的情况下，接收来自认证中心的认证序号；第四发送单元，配置用于向消息接收电子控制单元发送带有认证序号、消息发送电子控制单元标识、以及消息正文包的消息，以便消息接收电子控制单元将认证序号、消息发送电子控制单元标识发送到认证中心认证，并在认证通过后，打开消息正文包。

第七方面，本申请实施例提供了一种设备，包括处理器、存储器和显示器；所述存储器包含可由所述处理器执行的指令以使得所述处理器执行：判断从消息发送电子控制单元接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包，其中，所述认证序号是在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元的序号；如果接收到的消息含有认证序号、消息发送电子控制单元标识，将认证序号、消息发送电子控制单元标识发送到认证中心，以基于认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行认证；响应于接收到来自认证中心的认证通过消息，打开消息正文包。

第八方面，本申请实施例提供了一种设备，包括处理器、存储器和显示器；所述存储器包含可由所述处理器执行的指令以使得所述处理器执行：从消息接收电子控制单元接收认证序号和消息发送电子控制单元标识，其中，所述认证序号在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元，并由消息发送电子控制单元连同消息发送电子控制单元标识发送到消息接收电子控制单元；基于发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录，对接收的认证序号和消息发送电子控制单元标识进行认证；如认证通过，向消息接收电子控制单元发送认证通过消息。

第九方面，本申请实施例提供了一种设备，包括处理器、存储器和显示器；所述存储器包含可由所述处理器执行的指令以使得所述处理器执行：向认证中心发送认证序号请求；在认证中心对消息发送电子控制单元标识验证通过的情况下，接收来自认证中心的认证序号；向消息接收电子控制单元发送带有认证序号、消息发送电子控制单元标识、以及消息正文包的消息，以便消息接收电子控制单元将认证序号、消息发送电子控制单元标识发送到认证中心认证，并在认证通过后，打开消息正文包。

在本申请实施例中，消息发送电子控制单元要想发送消息，首先请求认证中心对其认证，为其发放认证序号。认证中心获取消息发送电子控制单元的标识，对其进行认证(例如，与存储的已授权的电子控制单元列表进行比对)。如果认证通过，认证中心为消息发送电子控制单元发送认证序号。消息发送电子控制单元将认证序号、消息发送电子控制单元标识、以及消息正文包一并发给消息接收电子控制单元。消息接收电子控制单元判断接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包。如果不含有认证序号、消息发送电子控制单元标识，说明消息的发送者并不是一个已授权的电子控制单元，可能是一个未被授权的新接入或错误地接入的ECU。因为如果其是一个已授权的电子控制单元，它是能够向认证中心请求到认证序号的。在这种情况下，不能打开消息正文包。如果含有认证序号、消息发送电子控制单元标识，也有可能认证序号是伪造的，这时消息接收电子控制单元将将认证序号、消息发送电子控制单元标识发送到认证中心。认证中心基于认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行认证。如果认证未通过，很可能说明接收的消息中的认证序号是伪造的，消息发送电子控制单元的身份也不可信，也不能打开消息正文包。只有接收到来自认证中心的认证通过消息，才打开消息正文包。这样，解决了当访问一个未被授权的新接入或错误地接入的ECU时车辆网络系统中的车辆信息的安全性问题。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出了其中可以应用本申请实施例的示例性系统架构；

图2示出了根据本申请一个实施例的在消息接收电子控制单元侧的车辆电子控制单元间身份认证方法的示例性流程图；

图3示出了根据本申请一个实施例的在认证中心侧的车辆电子控制单元间身份认证方法的示例性流程图；

图4示出了根据本申请一个实施例的在消息发送电子控制单元侧的车辆电子控制单元间身份认证方法的示例性流程图；

图5示出了根据本申请一个实施例的在消息接收电子控制单元侧的车辆电子控制单元间的身份认证装置的示例性结构框图；

图6示出了根据本申请一个实施例的在认证中心侧的车辆电子控制单元间的身份认证装置的示例性结构框图；

图7示出了根据本申请一个实施例的在消息发送电子控制单元侧的车辆电子控制单元间的身份认证装置的示例性结构框图；

图8示出了适于用来实现本申请实施例的消息接收电子控制单元的计算机系统的结构示意图。

图9示出了适于用来实现本申请实施例的认证中心的计算机系统的结构示意图。

图10示出了适于用来实现本申请实施例的消息发送电子控制单元的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

请参考图1，其示出了可以应用本申请实施例的示例性系统架构。

如图1所示，系统架构可以包括消息发送电子控制单元102、认证中心101、消息接收电子控制单元103。消息发送电子控制单元102指发送消息的电子控制单元。消息接收电子控制单元103指接收消息的电子控制单元。认证中心101指车辆网络中对发送消息的电子控制单元的身份进行验证，以证明其是否是已被授权的电子控制单元的中心。

消息发送电子控制单元102、消息接收电子控制单元103、认证中心101都可以是车载终端中的一个单元，但认证中心101也可以是服务器的一个组成部分，消息发送电子控制单元102、消息接收电子控制单元103通过网络连接到认证中心101。

如背景技术中提到的，在车辆网络系统中，经由网络连接的ECU能够容易地交换车辆信息。但是，也容易将连接到网络的ECU拆卸，或者错误地将一个未被授权的ECU附连到网络。当访问一个未被授权的新接入或错误地接入的ECU时，车辆网络系统的安全就会受到影响，容易泄露车辆信息。因此，需要一种对ECU之间的通信进行认证从而防止车辆信息泄密的技术。

在本申请实施例中，消息发送电子控制单元要想发送消息，首先请求认证中心对其认证，为其发放认证序号。认证中心获取消息发送电子控制单元的标识，对其进行认证(例如，与存储的已授权的电子控制单元列表进行比对)。如果认证通过，认证中心为消息发送电子控制单元发送认证序号。消息发送电子控制单元将认证序号、消息发送电子控制单元标识、以及消息正文包一并发给消息接收电子控制单元。消息接收电子控制单元判断接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包。如果不含有认证序号、消息发送电子控制单元标识，说明消息的发送者并不是一个已授权的电子控制单元，可能是一个未被授权的新接入或错误地接入的ECU。因为如果其是一个已授权的电子控制单元，它是能够向认证中心请求到认证序号的。在这种情况下，不能打开消息正文包。如果含有认证序号、消息发送电子控制单元标识，也有可能认证序号是伪造的，这时消息接收电子控制单元将将认证序号、消息发送电子控制单元标识发送到认证中心。认证中心基于认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行认证。如果认证未通过，很可能说明接收的消息中的认证序号是伪造的，消息发送电子控制单元的身份也不可信，也不能打开消息正文包。只有接收到来自认证中心的认证通过消息，才打开消息正文包。这样，解决了当访问一个未被授权的新接入或错误地接入的ECU时车辆网络系统中的车辆信息的安全性问题。

参考图2，其示出了根据本申请一个实施例的车辆电子控制单元之间的身份认证方法的示例性流程图。图2所示的方法可以在图1中的消息接收电子控制单元103执行。

如图2所示，在步骤210中，判断从消息发送电子控制单元接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包。

所述认证序号是在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元的序号。消息发送电子控制单元标识是消息发送电子控制单元区别于其他电子控制单元的身份号，如在电子控制单元出厂时分配的产品序列号等。在一个实施例中，该产品序列号具有唯一性。

在本申请实施例中，消息发送电子控制单元要想发送消息，首先要请求认证中心验证其身份，为其发放认证序号。即，消息发送电子控制单元向认证中心发送认证序号请求。认证中心接收到认证序号请求后，主动查询消息发送电子控制单元的标识。主动查询的方法例如有通过该消息发送电子控制单元与认证中心通信时的握手消息中的特定字段直接读出该消息发送电子控制单元的标识。在电子控制单元和认证中心的通信协议中规定，该握手消息中的特定字段自动放入电子控制单元的标识。该特定字段不能人为操纵而更改。这样，如果消息发送电子控制单元是一个未被授权的新接入或错误地接入的ECU，该特定字段读出的消息发送电子控制单元标识就是该未被授权的ECU的标识而不能人为更改，这样在认证中心必然通不过验证。在认证中心存储着已授权的电子控制单元列表。与列表中的电子控制单元通信是安全的。认证中心在验证时将消息发送电子控制单元的标识与存储的已授权的电子控制单元列表进行比对。如果消息发送电子控制单元的标识在存储的已授权的电子控制单元列表中，则验证通过，认证中心为消息发送电子控制单元发送认证序号。消息发送电子控制单元将认证序号、消息发送电子控制单元标识、以及消息正文包一并发给消息接收电子控制单元。消息接收电子控制单元判断接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包。如果不含有认证序号、消息发送电子控制单元标识，说明消息的发送者并不是一个已授权的电子控制单元，可能是一个未被授权的新接入或错误地接入的ECU。因为如果其是一个已授权的电子控制单元，它是能够向认证中心请求到认证序号的。在这种情况下，不能打开消息正文包。如果含有认证序号、消息发送电子控制单元标识，也有可能认证序号是伪造的，这时还要进行进一步认证，即进入步骤220。

在步骤220中，如果接收到的消息含有认证序号、消息发送电子控制单元标识，将认证序号、消息发送电子控制单元标识发送到认证中心，以基于认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行认证.

当判断出接收到的消息含有认证序号、消息发送电子控制单元标识后，消息接收电子控制单元将认证序号、消息发送电子控制单元标识发送到认证中心。由于认证中心每次向消息发送电子控制单元发放认证序号后，都将发放的认证序号和发放该认证序号所针对的消息发送电子控制单元的标识相对应地记录。这样，认证中心接收到来自消息接收电子控制单元的认证序号、消息发送电子控制单元标识后，将其与认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行比对。如果在对应记录中找到一条记录，该记录中的认证序号与认证中心接收到的来自消息接收电子控制单元的认证序号相同，该记录中的消息发送电子控制单元标识与认证中心接收到的来自消息接收电子控制单元的消息发送电子控制单元标识相同，则认证通过。否则，则认证未通过，很可能接收的消息中的认证序号是伪造的，消息发送电子控制单元的身份不可信，不能打开消息正文包。这样，解决了当访问一个未被授权的新接入或错误地接入的ECU时车辆网络系统中的车辆信息的安全性问题。

在步骤230中，响应于接收到来自认证中心的认证通过消息，打开消息正文包。

在一个实施例中，所述方法还包括：如果接收到的消息不含有认证序号及消息发送电子控制单元标识，丢弃接收到的消息(未示)。

在一个实施例中，所述方法还包括：响应于接收到来自认证中心的认证失败消息，丢弃接收到的消息(未示)。

参考图3，其示出了根据本申请一个实施例的车辆电子控制单元之间的身份认证方法的示例性流程图。图3所示的方法可以在图1中的认证中心101执行。

如图3所示，在步骤310中，从消息接收电子控制单元接收认证序号和消息发送电子控制单元标识。

所述认证序号在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元，并由消息发送电子控制单元连同消息发送电子控制单元标识发送到消息接收电子控制单元。消息发送电子控制单元标识是消息发送电子控制单元区别于其他电子控制单元的身份号，如在电子控制单元出厂时分配的产品序列号等。在一个实施例中，该产品序列号具有唯一性。

实际上，在步骤310之前，所述方法还包括：接收来自消息发送电子控制单元的认证序号请求；获取消息发送电子控制单元标识；根据安全电子控制单元标识列表，对发送电子控制单元标识进行验证；如验证通过，向发送电子控制单元发放认证序号。

消息发送电子控制单元要想发送消息，首先要请求认证中心验证其身份，为其发放认证序号。即，消息发送电子控制单元向认证中心发送认证序号请求。认证中心接收到认证序号请求后，主动获取消息发送电子控制单元的标识。主动获取的方法例如有通过该消息发送电子控制单元与认证中心通信时的握手消息中的特定字段直接读出该消息发送电子控制单元的标识。在电子控制单元和认证中心的通信协议中规定，该握手消息中的特定字段自动放入电子控制单元的标识。该特定字段不能人为操纵而更改。这样，如果消息发送电子控制单元是一个未被授权的新接入或错误地接入的ECU，该特定字段读出的消息发送电子控制单元标识就是该未被授权的ECU的标识而不能人为更改，这样在认证中心必然通不过验证。在认证中心存储着已授权的电子控制单元列表。与列表中的电子控制单元通信是安全的。认证中心在验证时将消息发送电子控制单元的标识与存储的已授权的电子控制单元列表进行比对。如果消息发送电子控制单元的标识在存储的已授权的电子控制单元列表中，则验证通过，认证中心向消息发送电子控制单元发送认证序号。

认证中心向消息发送电子控制单元发送认证序号后，所述方法还包括：将发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识对应地记录。这样，才能在后续的步骤320中，基于发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录，对接收的认证序号和消息发送电子控制单元标识进行认证。

消息发送电子控制单元接收到认证序号后，将认证序号、消息发送电子控制单元标识、以及消息正文包一并发给消息接收电子控制单元。消息接收电子控制单元判断接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包。如果不含有认证序号、消息发送电子控制单元标识，说明消息的发送者并不是一个已授权的电子控制单元，可能是一个未被授权的新接入或错误地接入的ECU。因为如果其是一个已授权的电子控制单元，它是能够向认证中心请求到认证序号的。在这种情况下，不能打开消息正文包。如果含有认证序号、消息发送电子控制单元标识，也有可能认证序号是伪造的，这时还需要将认证序号、消息发送电子控制单元标识发送到认证中心进一步认证。

在步骤320中，基于发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录，对接收的认证序号和消息发送电子控制单元标识进行认证。

由于认证中心每次向消息发送电子控制单元发放认证序号后，都将发放的认证序号和发放该认证序号所针对的消息发送电子控制单元的标识相对应地记录。这样，认证中心接收到来自消息接收电子控制单元的认证序号、消息发送电子控制单元标识后，将其与认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行比对。如果在对应记录中找到一条记录，该记录中的认证序号与认证中心接收到的来自消息接收电子控制单元的认证序号相同，该记录中的消息发送电子控制单元标识与认证中心接收到的来自消息接收电子控制单元的消息发送电子控制单元标识相同，则认证通过。否则，则认证未通过，很可能接收的消息中的认证序号是伪造的，消息发送电子控制单元的身份不可信，不能打开消息正文包。这样，解决了当访问一个未被授权的新接入或错误地接入的ECU时车辆网络系统中的车辆信息的安全性问题。

在步骤330中，如认证通过，向消息接收电子控制单元发送认证通过消息。

消息接收电子控制单元接收到该认证通过消息后，可以打开消息正文包。

在一个实施例中，所述方法还包括：如认证失败，向消息接收电子控制单元发送认证失败消息。

消息接收电子控制单元接收到该认证失败消息后，不能打开消息正文包。

参考图4，其示出了根据本申请一个实施例的车辆电子控制单元之间的身份认证方法的示例性流程图。图3所示的方法可以在图1中的消息发送电子控制单元102执行。

如图4所示，在步骤410中，向认证中心发送认证序号请求。

消息发送电子控制单元要想发送消息，首先要请求认证中心验证其身份，为其发放认证序号。即，消息发送电子控制单元向认证中心发送认证序号请求。

在步骤420中，在认证中心对消息发送电子控制单元标识验证通过的情况下，接收来自认证中心的认证序号。

认证中心接收到认证序号请求后，主动获取消息发送电子控制单元的标识。主动获取的方法例如有通过该消息发送电子控制单元与认证中心通信时的握手消息中的特定字段直接读出该消息发送电子控制单元的标识。在电子控制单元和认证中心的通信协议中规定，该握手消息中的特定字段自动放入电子控制单元的标识。该特定字段不能人为操纵而更改。这样，如果消息发送电子控制单元是一个未被授权的新接入或错误地接入的ECU，该特定字段读出的消息发送电子控制单元标识就是该未被授权的ECU的标识而不能人为更改，这样在认证中心必然通不过验证。在认证中心存储着已授权的电子控制单元列表。与列表中的电子控制单元通信是安全的。认证中心在验证时将消息发送电子控制单元的标识与存储的已授权的电子控制单元列表进行比对。如果消息发送电子控制单元的标识在存储的已授权的电子控制单元列表中，则验证通过，认证中心向消息发送电子控制单元发送认证序号。

认证中心向消息发送电子控制单元发送认证序号后，认证中心还将发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识对应地记录。

在步骤430中，向消息接收电子控制单元发送带有认证序号、消息发送电子控制单元标识、以及消息正文包的消息，以便消息接收电子控制单元将认证序号、消息发送电子控制单元标识发送到认证中心认证，并在认证通过后，打开消息正文包。

消息发送电子控制单元接收到认证序号后，将认证序号、消息发送电子控制单元标识、以及消息正文包一并发给消息接收电子控制单元。消息接收电子控制单元判断接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包。如果不含有认证序号、消息发送电子控制单元标识，说明消息的发送者并不是一个已授权的电子控制单元，可能是一个未被授权的新接入或错误地接入的ECU。因为如果其是一个已授权的电子控制单元，它是能够向认证中心请求到认证序号的。在这种情况下，不能打开消息正文包。如果含有认证序号、消息发送电子控制单元标识，也有可能认证序号是伪造的，这时还需要将认证序号、消息发送电子控制单元标识发送到认证中心进一步认证。

由于认证中心每次向消息发送电子控制单元发放认证序号后，都将发放的认证序号和发放该认证序号所针对的消息发送电子控制单元的标识相对应地记录。这样，认证中心接收到来自消息接收电子控制单元的认证序号、消息发送电子控制单元标识后，将其与认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行比对。如果在对应记录中找到一条记录，该记录中的认证序号与认证中心接收到的来自消息接收电子控制单元的认证序号相同，该记录中的消息发送电子控制单元标识与认证中心接收到的来自消息接收电子控制单元的消息发送电子控制单元标识相同，则认证通过。否则，则认证失败，很可能接收的消息中的认证序号是伪造的，消息发送电子控制单元的身份不可信，不能打开消息正文包。这样，解决了当访问一个未被授权的新接入或错误地接入的ECU时车辆网络系统中的车辆信息的安全性问题。

如认证通过，认证中心向消息接收电子控制单元发送认证通过消息。消息接收电子控制单元接收到该认证通过消息后，可以打开消息正文包。

如认证失败，认证中心向消息接收电子控制单元发送认证失败消息。消息接收电子控制单元接收到该认证失败消息后，丢弃消息正文包。

应当注意，尽管在附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。相反，流程图中描绘的步骤可以改变执行顺序。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

进一步参考图5，其示出了根据本申请一个实施例的车辆电子控制单元之间的身份认证装置500的示例性结构框图。

如图5所示，身份认证装置500可以包括：判断单元510，配置用于判断从消息发送电子控制单元接收到的消息是否含有认证序号、消息发送电子控制单元标识、以及消息正文包，其中，所述认证序号是在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元的序号；第一发送单元520，配置用于如果接收到的消息含有认证序号、消息发送电子控制单元标识，将认证序号、消息发送电子控制单元标识发送到认证中心，以基于认证中心发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录进行认证；打开单元530，配置用于响应于接收到来自认证中心的认证通过消息，打开消息正文包。

可选地，所述装置500还包括：第一丢弃单元(未示)，配置用于如果接收到的消息不含有认证序号及消息发送电子控制单元标识，丢弃接收到的消息。

可选地，所述装置500还包括：第二丢弃单元(未示)，配置用于响应于接收到来自认证中心的认证失败消息，丢弃接收到的消息。

进一步参考图6，其示出了根据本申请一个实施例的车辆电子控制单元之间的身份认证装置600的示例性结构框图。

如图6所示，该身份认证装置600包括：第一接收单元610，配置用于从消息接收电子控制单元接收认证序号和消息发送电子控制单元标识，其中，所述认证序号在消息发送电子控制单元需要发送消息时向认证中心请求对消息发送电子控制单元标识进行验证后由认证中心发放给消息发送电子控制单元，并由消息发送电子控制单元连同消息发送电子控制单元标识发送到消息接收电子控制单元；认证单元620，配置用于基于发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录，对接收的认证序号和消息发送电子控制单元标识进行认证；第二发送单元630，配置用于如认证通过，向消息接收电子控制单元发送认证通过消息。

可选地，所述装置600还包括：第三发送单元(未示)，配置用于如认证失败，向消息接收电子控制单元发送认证失败消息。

可选地，所述装置600还包括：第二接收单元(未示)，配置用于接收来自消息发送电子控制单元的认证序号请求；获取单元(未示)，配置用于获取消息发送电子控制单元标识；验证单元(未示)，配置用于根据安全电子控制单元标识列表，对发送电子控制单元标识进行验证；发放单元(未示)，配置用于如验证通过，向发送电子控制单元发放认证序号。

可选地，所述装置600还包括：记录单元(未示)，配置用于将发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识对应地记录。

可选地，如果接收的认证序号和消息发送电子控制单元标识在发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录中，认证通过。

可选地，如果接收的认证序号和消息发送电子控制单元标识不在发放的认证序号和发放认证序号所针对的消息发送电子控制单元标识的对应记录中，认证失败。

进一步参考图7，其示出了根据本申请一个实施例的车辆电子控制单元之间的身份认证装置700的示例性结构框图。

如图7所示，该身份认证装置700包括：第四发送单元710，配置用于向认证中心发送认证序号请求；第三接收单元720，配置用于在认证中心对消息发送电子控制单元标识验证通过的情况下，接收来自认证中心的认证序号；第四发送单元730，配置用于向消息接收电子控制单元发送带有认证序号、消息发送电子控制单元标识、以及消息正文包的消息，以便消息接收电子控制单元将认证序号、消息发送电子控制单元标识发送到认证中心认证，并在认证通过后，打开消息正文包。

应当理解，图5-7中记载的诸子系统或单元与参考图2-图4描述的方法中的各个步骤相对应。由此，上文针对方法描述的操作和特征同样适用于图5-7及其中包含的单元，在此不再赘述。

下面参考图8，其示出了适于用来实现本申请实施例的消息接收电子控制单元的计算机系统800的结构示意图。

如图8所示，计算机系统800包括中央处理单元(CPU)801，其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM 803中，还存储有系统800操作所需的各种程序和数据。CPU 801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。

以下部件连接至I/O接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。

下面参考图9，其示出了适于用来实现本申请实施例的认证中心的计算机系统900的结构示意图。

如图9所示，计算机系统900包括中央处理单元(CPU)901，其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。在RAM 903中，还存储有系统900操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。

以下部件连接至I/O接口905：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。

下面参考图10，其示出了适于用来实现本申请实施例的消息接收电子控制单元的计算机系统1000的结构示意图。

如图10所示，计算机系统1000包括中央处理单元(CPU)1001，其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。在RAM 1003中，还存储有系统1000操作所需的各种程序和数据。CPU 1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。

以下部件连接至I/O接口1005：包括键盘、鼠标等的输入部分1006；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007；包括硬盘等的存储部分1008；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1010上，以便于从其上读出的计算机程序根据需要被安装入存储部分1008。

特别地，根据本公开的实施例，上文参考图2-图4描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包含用于执行图2-图4的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分809、909、1009从网络上被下载和安装，和/或从可拆卸介质811、911、1011被安装。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中。这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。

作为另一方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中所述装置中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本申请的公式输入方法。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。