车辆信息安全控制设备的制作方法

本公开一般涉及计算机领域，具体涉及信息处理安全领域，尤其涉及一种车辆信息安全控制设备。

背景技术：

一台车辆的电子控制单元(ECU)有上百个。ECU和普通的电脑一样,由微处理器(CPU)、存储器(ROM、RAM)、输入/输出接口(I/O)、模数转换器(A/D)以及整形、驱动等大规模集成电路组成。

通过将安装在车辆上的多个ECU经由网络相互连接，能够交换ECU具有的信息(车辆信息)。在这个由ECU连接而成的系统中，经由网络连接的ECU能够容易地交换车辆信息。但是，也容易将连接到网络的ECU拆卸，或者错误地将一个未被授权的ECU附连到网络。当一个未被授权的新接入或错误地接入的ECU试图访问现有的ECU时，现有ECU的安全就会受到影响，容易泄露车辆信息。

因此，需要一种车辆信息安全控制设备，其能够使ECU之间的信息交换更安全。

技术实现要素：

鉴于现有技术中的上述缺陷或不足，期望提供一种能够使ECU之间的信息交换更安全的车辆信息安全控制设备。

本申请实施例提供了一种车辆信息安全控制设备，所述车辆信息安全控制设备包括认证装置、消息发送电子控制单元和消息接收电子控制单元，消息发送电子控制单元和消息接收电子控制单元都连接到认证装置，消息发送电子控制单元和认证装置之间具有第一连接，消息发送电子控制单元和消息接收电子控制单元之间具有第二连接，消息接收电子控制单元和认证装置之间具有第三连接。

在本申请实施例中，车辆信息安全控制设备不仅包括消息发送电子控制单元和消息接收电子控制单元，还包括认证装置，用于对消息发送电子控制单元的身份进行认证，从而保证消息发送电子控制单元发送给消息接收电子控制单元的消息安全。在消息发送电子控制单元和认证装置之间有第一连接，消息发送电子控制单元要想发送消息，可以通过第一连接请求认证装置对其身份认证。认证通过后，认证装置向消息发送电子控制单元发送认证令牌。消息发送电子控制单元与认证装置之间有第二连接。消息发送电子控制单元将消息发送电子控制单元的标识和所述认证令牌通过第二连接发送给消息接收电子控制单元。消息接收电子控制单元和认证装置之间有第三连接。消息接收电子控制单元将接收到的消息发送电子控制单元的标识和所述认证令牌转发到认证装置进行认证。认证装置根据向消息发送电子控制单元发放过的认证令牌记录进行认证，将认证结果通过第三连接发送给消息接收电子控制单元。这样，当一个未被授权的新接入或错误地接入的ECU试图访问现有的ECU时，该未被授权的新接入或错误地接入的ECU的身份在认证装置不可能通过认证，从而不可能得到认证令牌。即使该未被授权的新接入或错误地接入的ECU伪造认证令牌和消息发送电子控制单元的标识发送给消息接收电子控制单元，由于接到认证令牌和消息发送电子控制单元的标识后消息接收电子控制单元还要将它们转发到认证装置进行认证。伪造的认证令牌和消息发送电子控制单元的标识同样无法通过认证，达到了使ECU之间的信息交换更安全的目的。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出了根据本申请一个实施例的车辆信息安全控制设备的示例性硬件结构框图；

图2示出了根据本申请一个实施例的认证装置的内部示例性硬件结构框图之一。

图3示出了根据本申请一个实施例的认证装置的内部示例性硬件结构框图之二。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关实用新型，而非对该实用新型的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与实用新型相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

请参考图1，其示出了根据本申请一个实施例的车辆信息安全控制设备1的示例性硬件结构框图。

如图1所示，车辆信息安全控制设备1可以包括认证装置11、消息发送电子控制单元(ECU)13和消息接收电子控制单元12。

如背景技术所述，一台车辆的电子控制单元(ECU)有上百个。通过将安装在车辆上的多个ECU经由网络相互连接，能够交换ECU具有的信息(车辆信息)。其中，这些电子控制单元中试图发送消息的电子控制单元称为消息发送电子控制单元13，这些电子控制单元中要接收消息的电子控制单元称为消息接收电子控制单元12。认证装置11是用于对消息发送电子控制单元的身份进行认证，从而保证消息发送电子控制单元发送给消息接收电子控制单元的消息安全性的装置，其硬件结构在下面结合图2描述。

消息发送电子控制单元13和消息接收电子控制单元12都连接到认证装置11。

消息发送电子控制单元13和认证装置11之间具有用于消息发送电子控制单元向认证装置发送消息发送电子控制单元的标识、认证装置向消息发送电子控制单元发送认证令牌的第一连接14。消息发送电子控制单元13要想发送消息，首先通过第一连接14请求认证装置11对其身份认证，即通过第一连接14向认证装置11发送认证其身份的 请求。认证装置11接收到该请求后，主动查询消息发送电子控制单元13的标识。主动查询的方法例如通过该请求中的特定字段直接读出该消息发送电子控制单元的标识。在消息发送电子控制单元13和认证装置11的通信协议中规定，消息发送电子控制单元13向认证装置11发送的消息中的特定字段自动放入消息发送电子控制单元的标识。该特定字段不能人为操纵而更改。这样，如果消息发送电子控制单元是一个未被授权的新接入或错误地接入的ECU，该特定字段读出的消息发送电子控制单元标识就是该未被授权的ECU的标识而不能人为更改，这样在认证装置必然通不过验证。如果不采用主动查询的方式，而是让消息发送电子控制单元13上报其标识，消息发送电子控制单元13本身可能是一个未被授权的电子控制单元，但其知道另外一个已授权的电子控制单元的标识从而将该已授权的电子控制单元的标识伪装成自己的标识发送给认证装置，从而通过认证。

认证通过后，认证装置11通过第一连接14向消息发送电子控制单元13发送认证令牌。认证令牌可以体现为一个包括数字、字母的序列。在一个实施例中，在不同次的认证中，认证装置11发放的认证令牌互不相同。

消息发送电子控制单元13和消息接收电子控制单元12之间具有用于消息发送电子控制单元13向消息接收电子控制单元12传递消息发送电子控制单元的标识和所述认证令牌的第二连接15。

消息发送电子控制单元13接收到认证令牌后，将消息发送电子控制单元13的标识和所述认证令牌、可能还有要发送的消息包通过第二连接15发送给消息接收电子控制单元12。

消息接收电子控制单元12和认证装置11之间具有用于消息接收电子控制单元12向认证装置11转发消息接收电子控制单元接收到的消息发送电子控制单元的标识和所述认证令牌、认证装置11向消息接收电子控制单元12返回认证结果的第三连接16。

消息接收电子控制单元12接收到消息发送电子控制单元13发来的其标识、所述认证令牌、消息包后，先不打开消息包，而是向认证装置11转发消息接收电子控制单元12接收到的消息发送电子控制单 元的标识和所述认证令牌。由于认证装置11在向消息发送电子控制单元13每发放一块认证令牌，都会将认证令牌与作为发放该认证令牌的对象的消息发送电子控制单元的标识相对应地记录。这样，当认证装置11接收到消息接收电子控制单元12转发的认证令牌和消息发送电子控制单元的标识后，将其与曾发放的认证令牌与作为认证令牌发放对象的消息发送电子控制单元的标识的对应记录进行比对。如果在对应记录中，则认证通过，通过第三连接16向消息接收电子控制单元12返回认证通过消息。消息接收电子控制单元12可以打开消息包。否则，则认证不通过，认证装置11通过第三连接16向消息接收电子控制单元12返回认证失败消息。消息接收电子控制单元12不能打开消息包，可以将其丢弃。

所述第一连接、第二连接、第三连接都既可以是有线连接，也可以是无线连接。

如图2所示，在一个实施例中，所述认证装置11包括收发器111、认证器113。所述收发器111连接到认证器113。收发器111可采用一般的收发信机，例如在无线通信的情况下，可以采用天线。认证器可以采用处理器的形式。

在上述消息发送电子控制单元13向认证装置11请求认证令牌的过程中，收发器111通过所述第一连接14接收消息发送电子控制单元发送的请求(特定字段中含有其标识)。认证器11存储有已授权电子控制单元的列表。如果接收的请求中含有的消息发送电子控制单元的标识不在所述列表中，说明该消息发送电子控制单元是未被授权的新接入或错误地接入的ECU，不能发放认证令牌。如果接收的请求中含有的消息发送电子控制单元的标识在所述列表中，则认证器113生成认证令牌，并通过收发器111经由所述第一连接14发送认证令牌。

已授权电子控制单元的列表也可以不存储在认证器113，而是存储在与认证器相连接的数据库114中，如图3所示。在接收到消息发送电子控制单元13的请求后，认证器从数据库114调取该列表。

认证器113发放认证令牌后，还将发放的认证令牌和该认证令牌所针对的消息发送电子控制单元的标识相对应地记录在自身中。另外， 也可以将发放的认证令牌和该认证令牌所针对的消息发送电子控制单元的标识相对应地记录在数据库114，如图3所示。

在上述消息接收电子控制单元12将消息发送电子控制单元13的标识和认证令牌发送给认证装置11请求认证结果的过程中，收发器111还通过所述第三连接16接收消息接收电子控制单元12转发的消息发送电子控制单元的标识和所述认证令牌。认证器113基于消息发送电子控制单元的标识和所述认证令牌进行认证，即将其与自身存储(如图2所示)或数据库114存储(如图3所示)的其发放的认证令牌和针对的消息发送电子控制单元的标识的对应记录进行比对。如果接收的消息发送电子控制单元的标识和所述认证令牌不在所述对应记录中，则很有可能是消息发送电子控制单元是一个未授权的电子控制单元，为了访问消息接收电子控制单元而伪造其标识和/或认证令牌发送给消息接收电子控制单元，认证器11通过第三连接16将认证失败的认证结果返回给消息接收电子控制单元,消息接收电子控制单元不能打开消息包。如果在所述对应记录中，认证器11通过第三连接16将认证通过的认证结果返回给消息接收电子控制单元,消息接收电子控制单元能打开消息包。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的实用新型范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述实用新型构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。