本发明涉及连接设备,更特别地,涉及在连接设备上安全建立时间值。
背景技术:
连接设备越来越依赖于内部时间值以便成功地执行或调节各种活动。连接设备可允许人在设备使用内部时间值监控时间窗口期间执行特定设备相关活动。只要当前时间值落在时间窗口内,连接设备将允许活动发生。然而,当内部时间值表示时间窗口已过期时,连接设备可以停止允许活动。
在基于时间的访问系统中,存在用于操纵连接设备的内部时间值的诱导,从而允许限定的时间窗口之外的访问。有时,连接设备可以被欺骗以时间窗口总是有效或从未有效的方式或时间窗口响应于连接设备的内部时间值的未经授权的改变而变得有效的方式去改变其内部时间值。虽然可以从一个或多个gps卫星广播的信号中获得准确的时间值,但是这些时间值可能易受操纵。gps卫星广播的信号不进行数字签名或认证,并且依赖于这些信号获得有效时间的连接设备可能被愚弄而接收恶意产生的信号,该信号旨在模拟包含不同时间的gps信号。在连接设备上维持准确的时间值将是有帮助的,但对时间值的更新或修改应能抵制篡改或操纵。
技术实现要素:
根据本发明的实施例,提供了一种在连接设备中建立安全时间值的方法。该方法包括:从联合中的每一个独立时间服务器接收连接设备上的管脚组的散列,其中管脚组存储在连接设备上以及远离连接设备的独立时间服务器上;在连接设备上接收时间值以及管脚组的每个散列;尝试验证从连接设备上的多个独立时间服务器的每一个中接收到的管脚组的散列;以及基于散列的有效性,在连接设备上确定哪些从多个独立时间服务器接收的时间值是有效的。
根据本发明的另一个实施例,提供了一种在连接设备中建立安全时间值的方法。该方法包括:从远离连接设备的三个或以上独立时间服务器的每一个中接收在连接设备上的时间值和管脚组的散列;在连接设备上尝试验证与接收到的散列包含一起的数字证书;确定有效数字证书的数量;基于有效数字证书的数量,确定是否使用接收到的时间值来建立安全时间值;以及使用时间值在连接设备上建立安全时间值。
根据本发明的又一个实施例,提供了一种在连接设备中建立安全时间值的方法。该方法包括:从远离所述连接设备的源中,无线接收在连接设备上的时间值;确定接收到的时间值是否早于连接设备处维持的当前时间值;当接收到的时间值被确定为早于连接设备处维持的当前时间值时,拒绝接收到的时间值;以及当接收到的时间值被确定为与连接设备处维持的当前时间值相同或迟于连接设备处维持的当前时间值,将连接设备处维持的当前时间值替换为接收到的时间值。
附图说明
以下将结合附图描述本发明的一个或多个实施例,其中相似的标号表示相同的元件,并且其中:
图1是描绘能够使用本文公开的方法的通信系统的实施例的框图;
图2是描绘在连接设备中建立安全时间值的方法的实施例的流程图;以及
图3是描绘在连接设备中建立安全时间值的方法的另一实施例的流程图;
具体实施方式
下面描述的系统和方法在连接设备中建立安全的时间值。该方法确保从多个位于远处的独立时间服务器接收的连接设备上的时间值的安全性或真实性。连接设备和独立时间服务器可以各自维护由可信源发行的数字证书和独立时间服务器的列表(也称为管脚组)。作为向连接设备提供时间值的一部分,独立时间服务器可以将数字证书中的一个和管脚组的副本包括在连接设备中。管脚组可以包括包含在联合中的独立时间服务器的列表,连接设备从联合接收时间值和一个或多个数字证书。连接设备和独立时间服务器使用的数字证书可以使用诸如传输层安全性(tls)的通信协议在连接设备和独立时间服务器之间进行通信,并被验证为可信。tls是一种端到端通信协议,通常配置为提供认证、消息完整性和机密性。使用在连接设备和独立时间服务器处维持的数字证书和管脚组可以帮助促进可信时间值,可信时间值是信任连接设备可能接收的具有基于时间的到期值的不同数字证书的先决条件。在当前时间值被信任时,连接设备可以自信地认证其它数字证书。
连接设备可以通过向多个独立时间服务器无线地发送时间值请求来寻求更新或确认其维持的时间值。连接设备可以从包括时间值、数字证书和管脚组的每个独立时间服务器接收响应。连接设备可以验证接收到的管脚组,从而验证与管脚组一起发送的时间值。术语管脚组还可以指可以用于节省数据传输资源的管脚组的散列。连接设备可以在接受独立时间服务器提供的时间值之前,基于每个独立时间服务器提供的管脚组或管脚组散列,来识别有效独立时间服务器的数量。如果有效时间独立时间服务器的数量高于特定阈值,则连接设备可以确定这些独立时间服务器提供的时间值有效;否则,连接设备可以拒绝时间值。
在连接设备中维持可靠或安全的时间可以阻止与连接设备一起使用的暂时过期或不定期的数字证书。过期或不定期的数字证书包含许多缺陷。比如,这些数字证书可能不与受保护的私钥相关联,数字证书认证机构可能不再发出吊销请求,并且与旧版数字证书使用的加密标准可能容易受到攻击。安全的时间可以确保连接设备不必依赖于过期/不定期的数字证书。
多个独立时间服务器可以充当联合,使得它们被独立的监控客户端共同使用,以验证多个独立时间服务器提供的时间值是否准确。虽然以下公开描述了一种实施方式,其中连接设备采用车辆远程信息处理单元的形式来维持时间值,并且使用独立时间服务器的联合来安全地更新该时间值,但是应当理解,可以使用其它类型的可连接的连接设备来实现建立安全时间值的方法,例如固定计算机(pc)或诸如智能电话之类的无线设备。
通信系统-
参考图1,示出了包括移动车辆通信系统10并可以用于实现本文公开的方法的操作环境。通信系统10通常包括车辆12、一个或多个无线载波系统14、陆地通信网络16、计算机18以及呼叫中心20。应当理解,所公开的方法可以与任何数量的不同系统一起使用,并且不具体地限于这里所示的操作环境。此外,系统10的架构、构造、设置和操作以及它的各个部件在本领域中是通常已知的。因此,以下段落简单地概述了一个这样的通信系统10;然而,这里未示出的其它系统也可以采用所公开的方法。
车辆12在所示实施例中被描述为客车,但是应当理解,包括摩托车、卡车、运动型多用途车(suv)、休闲车(rv)、船舶、飞机等的任何其它车辆也可以使用。一些车辆电子设备28通常在图1中示出并且包括远程信息处理单元30、麦克风32、一个或多个按钮或其它控制输入34、音频系统36、视觉显示器38和gps模块40以及许多其它车辆系统模块(vsm)42。这些设备中的一些可以直接连接到远程信息处理单元,例如麦克风32和按钮34,而其它设备使用一个或多个网络连接(例如通信总线44或娱乐总线46)间接连接到远程信息处理单元。适当的网络连接的示例包括控制器区域网络(can),面向媒体的系统传输(most),本地互连网络(lin),局域网(lan)以及其它适当的连接,诸如以太网或符合iso、sae和ieee标准和规范的其它网络,仅举几例。
远程信息处理单元30本身是车辆系统模块(vsm),并且可以被实现为安装在车辆中的oem安装(嵌入式)或售后设备,并且能够通过无线载波系统14和通过无线网络进行无线语音和/或数据通信。这使得车辆能够与呼叫中心20、其它远程信息处理车辆或其它实体或设备进行通信。远程信息处理单元优选地使用无线电传输来建立与无线载波系统14的通信信道(语音信道和/或数据信道),因此可以通过信道发送和接收语音和/或数据传输。通过提供语音和数据通信,远程信息处理单元30使得车辆能够提供多种不同的服务,包括与导航,电话,紧急援助,诊断,信息娱乐等相关的服务。可以通过数据连接(诸如通过数据信道上的分组数据传输)或者通过使用本领域已知技术的语音信道来发送数据。对于包含语音通信(例如,与呼叫中心20处的实时顾问或语音响应单元)和数据通信(例如,向呼叫中心20提供gps位置数据或车辆诊断数据)的组合服务,系统可以通过语音信道利用单个呼叫并根据需要通过语音信道进行语音和数据传输之间切换,并且可以使用本领域技术人员已知的技术来完成。
根据一个实施例,远程信息处理单元30根据gsm,cdma或lte标准利用蜂窝通信,并且因此包括用于诸如免提呼叫的语音通信的标准蜂窝芯片组50,用于数据传输的无线调制解调器,电子处理设备52,一个或多个数字存储设备54以及双天线56。应当理解,调制解调器可以通过存储在远程信息处理单元中并由处理器52执行的软件来实现,或者它可以是位于远程信息处理单元30内部或外部的单独的硬件部件。调制解调器可以使用任何数量的不同标准或协议(如lte、evdo、cdma、gprs和edge)进行操作。车辆和其它联网设备之间的无线网络也可以使用远程信息处理单元30来执行。为此,远程信息处理单元30可以配置为根据一种或多种无线协议进行无线通信,包括短距离无线通信(srwc)(例如ieee802.11协议、wimax、zigbeetm、wi-fi直接、蓝牙tm),或近场通信(nfc)。当用于诸如tcp/ip的分组交换数据通信时,远程信息处理单元可以配置静态ip地址,或者可以设置为从网络上的另一设备(例如路由器)或从网络地址服务器自动接收分配的ip地址。
可以与远程信息处理单元30通信的联网设备之一是连接设备,例如智能电话57。智能电话57可以包括计算机处理能力,能够使用短距离无线协议进行通信的收发机和可视智能电话显示器59。在一些实施方式中,智能电话显示器59还包括能够接收gps卫星信号并且基于这些信号产生gps坐标的触摸屏图形用户界面和/或gps模块。智能电话57还包括执行机器代码以生成逻辑输出的一个或多个微处理器。智能电话57的示例包括苹果公司制造的iphone和三星公司制造的galaxy以及其它手机。智能电话57还具有通过诸如蓝牙和wi-fi之类的短距离无线通信协议进行通信的能力。虽然智能电话57可以包括使用无线载波系统14通过蜂窝通信进行通信的能力,但并不总是如此。比如,苹果公司制造诸如各种型号的ipad和ipodtouch等设备,其中包括处理能力,显示屏59以及通过短距离无线通信链路进行通信的能力。然而,ipodtouchtm和一些ipadstm不具有蜂窝通信能力。即使如此,为了本文所述方法的目的,这些和其它类似的设备(诸如智能电话57)可以被使用或被认为是一种连接设备。如上所述,可以访问因特网的个人计算机(pc)或其它类似的计算设备也可以实施所讨论的方法。
在一些实施方式中,智能电话57可以接收允许在限定的时间周期内访问车辆12的数字证书。时间周期可以建立为与允许访问车辆12的数字证书的有效期同一时期。然后,车辆远程信息处理单元30可以从智能电话57接收与车辆访问有关的数字证书,并确定证书是否有效。为此,车辆远程信息处理单元30可将用于车辆访问的数字证书的有效期与车辆12处维持的时间值进行比较。当时间值在有效期内时,车辆远程信息处理单元30可以验证允许访问的数字证书,并允许智能电话用户访问车辆12。然而,如果时间值在有效期之外,则车辆远程信息处理单元30可以拒绝允许访问的数字证书,并拒绝对车辆12的访问。除了通过数字证书,使用智能电话57访问车辆12之外,智能电话57还可以实施本文所公开的用于在智能电话57内建立安全或可信时间值的方法。
处理器52可以是能够处理电子指令的任何类型的设备,包括微处理器、微控制器、主处理机、控制器、车辆通信处理器和专用集成电路(asic)。它可以是仅用于远程信息处理单元30的专用处理器,或者可以与其它车辆系统共享。处理器52执行各种类型的数字存储的指令,诸如存储在存储器54中的软件或固件程序,这些指令使远程信息处理单元能够提供各种各样的服务。比如,处理器52可以执行程序或处理数据以执行本文讨论的方法的至少一部分。处理器52可以以维持时间值的64位计数器的形式维持内部时钟。该时间值可以在纪元时间中具有基础,然后通过修改器的应用进行调整。纪元时间一般是指从1970年1月1日开始计算的时间值。也可以使用32位计数器,但是当使用纪元时间时,预计在2038年的某个时候可以重新实施。纪元时间可以由处理器52提前或延迟以响应于在车辆12上接收的时间值或诸如夏令时存在或流逝的其它因素。
远程信息处理单元30可用于提供包含到和/或来自车辆的无线通信的各种各样的车辆服务。这些服务包括:与基于gps的车辆导航模块40一起提供的转弯导航和其它导航相关服务;安全气囊部署通知以及与诸如身体控制模块(未示出)的一个或多个碰撞传感器接口模块相连接提供的其它紧急或路边辅助相关服务;使用一个或多个诊断模块的诊断报告;以及信息娱乐相关服务,其中音乐、网页、电影、电视节目、电子游戏和/或其它信息由信息娱乐模块(未示出)下载,并为当前或之后播放存储起来。上述所列的服务绝不是远程信息处理单元30的所有功能的详尽列表,只是简单地列举远程信息处理单元能够提供的一些服务。此外,应当理解,至少一些上述模块可以以保存在远程信息处理单元30内部或外部的软件指令的形式来实现,它们可以是位于远程信息处理单元30内部或外部的硬件部件,或者它们可以是集成的和/或彼此共享的或与整个车辆的其它系统共享,列举一些可能性。在模块被实现为位于远程信息处理单元30外部的vsm42的情况下,它们可以利用车辆总线44与远程信息处理单元交换数据和命令。
gps模块40从gps卫星的星座60接收无线电信号。根据这些信号,模块40可以确定用于向车辆驾驶员提供导航和其它位置相关服务的车辆位置。导航信息可以呈现在显示器38(或车辆内的其它显示器)上,或者可以口头呈现,例如在提供转弯导航时所做的。可以使用专用的车载导航模块(其可以是gps模块40的一部分)来提供导航服务,或者可以通过远程信息处理单元30完成一些或所有导航服务,其中,位置信息被发送到远程位置为车辆提供导航地图、地图注释(兴趣点,餐馆等)、路线计算等。位置信息可以提供给呼叫中心20或其它远程计算机系统(例如计算机18)用于其它目的(例如车队管理)。此外,新的或更新的地图数据可以通过远程信息处理单元30从呼叫中心20下载到gps模块40。
除了远程信息处理单元30,音频系统36和gps模块40之外,车辆12可以包括以电子硬件部件形式的其它车辆系统模块(vsm)42,车辆系统模块(vsm)42位于整个车辆中,并且通常从一个或多个传感器接收输入,并使用感测的输入来执行诊断,监视,控制,报告和/或其它功能。每个vsm42优选地通过通信总线44连接到其它vsm以及远程信息处理单元30,并且可以被编程以运行车辆系统和子系统诊断测试。作为示例,一个vsm42可以是控制诸如燃油点火和点火定时的发动机操作的各方面的发动机控制模块(ecm),另一个vsm42可以是调节汽车动力装置中一个或多个部件的操作的动力系控制模块,以及另一个vsm42可以是控制位于整个车辆上的各种电气部件(如车辆的电动遥控锁和前大灯)的一个车身控制模块。根据一个实施例,发动机控制模块配备有车载诊断(obd)特征,该特征提供大量实时数据,例如从包括车辆排放传感器的各种传感器接收的实时数据,并提供一系列标准化的诊断故障代码(dtc),其允许技术人员快速识别和解决车辆内的故障。如本领域技术人员所理解的,上述vsm仅仅是车辆12中可以使用的一些模块的示例,许多其它模块也是可能的。
车辆电子设备28还包括许多车辆用户接口,车辆用户接口为车辆乘员提供提供和/或接收信息的手段,包括麦克风32,按钮34、音频系统36和视觉显示器38。如本文所使用的,术语“车辆用户接口”广泛地包括任何合适形式的电子设备(包括硬件和软件部件),其位于车辆上并使得车辆用户能够与车辆的部件通信或通过车辆的部件进行通信。麦克风32向远程信息处理单元提供音频输入,以使得驾驶员或其它乘员能够通过无线载波系统14提供语音命令并执行免提呼叫。为此,它可以使用本领域已知的人机界面(hmi)技术连接到车载自动语音处理单元。按钮34允许手动用户输入到远程信息处理单元30以发起无线电话呼叫并提供其它数据、响应或控制输入。单独的按钮可以用于发起紧急呼叫,而不是对呼叫中心20的常规服务协助呼叫。音频系统36向车辆乘员提供音频输出,并且可以是专用的独立系统或主要车辆音频系统的一部分。根据这里所示的特定实施例,音频系统36可操作地同时耦合到车辆总线44和娱乐总线46,并且可以提供am,fm以及卫星无线电广播,cd,dvd和其它多媒体功能。此功能可以与上述信息娱乐模块结合或独立地提供。视觉显示器38优选为图形显示器,例如仪表板上的触摸屏或挡风玻璃反射的平视显示器,并且可以用于提供多种输入和输出功能。也可以使用各种其它车辆用户接口,因为图1的接口仅是一个特定实现的示例。
无线载波系统14优选为蜂窝电话系统,其包括多个小区发射塔70(仅示出一个),一个或多个移动交换中心(msc)72,以及将无线载波系统14与陆地网16连接的所需的任何其它网络部件。每个小区发射塔70包括发送和接收天线和基站,其中来自不同小区发射塔的基站直接或通过诸如基站控制器的中间设备连接到msc72。蜂窝系统14可以实现任何合适的通信技术,包括例如,诸如amps的模拟技术或诸如cdma(例如,cdma2000或1xev-do)或gsm/gprs(例如,4glte)的新一代数字技术。如本领域技术人员将理解的,可以有各种小区发射塔/基站/msc布置,并且可以与无线系统14一起使用。比如,基站和小区发射塔可以协同定位在相同的站点,或者它们可以彼此远程定位,每个基站可以负责单个小区发射塔,或者单个基站可以服务各种小区发射塔,并且各种基站可以耦合到单个msc,仅举几个可能的布置。
除了使用无线载波系统14之外,可以使用卫星通信形式的不同无线载波系统来提供与车辆进行的单向或双向通信。这可以使用一个或多个通信卫星62和上行链路发送站64来完成。单向通信可以是例如卫星无线电业务,其中发送站64接收节目内容(新闻,音乐等),打包上传,然后发送到卫星62,卫星62将节目广播给用户。双向通信可以是例如使用卫星62的卫星电话服务来中继车辆12和站64之间的电话通信。如果使用的话,这种卫星电话可以在无线载波系统14之外或代替无线载波系统14中使用。
陆地网络16可以是连接到一个或多个固定电话并将无线载波系统14连接到呼叫中心20的常规陆基电信网络。例如,陆地网络16可以包括诸如用于提供硬连线电话,分组交换数据通信和因特网基础设施的公共交换电话网络(pstn)。陆地网络16的一个或多个部分可以通过使用标准有线网络,光纤或其它光网络,有线网络,电力线,其它无线网络(无线局域网(wlan))或网络提供宽带无线接入(bwa)或其任何组合来实现。此外,呼叫中心20不需要通过陆地网络16来连接,但是可以包括无线电话设备,使得呼叫中心可以直接与诸如无线载波系统14之类的无线网络进行通信。
计算机18可以是通过诸如因特网的私有或公共网络可访问的多个计算机之一。每个这样的计算机18可以用于一个或多个目的,例如车辆通过远程信息处理单元30和无线载波14可访问的web服务器。其它这样可访问的计算机18可以是例如:服务中心计算机,其中可以通过远程信息处理单元30从车辆上传诊断信息和其它车辆数据;由车主或其它用户使用的用于访问或接收车辆数据或设置或配置用户偏好或控制车辆功能的客户端计算机;或通过与车辆12或呼叫中心20进行通信,或与二者同时通信,可以提供或向其提供车辆数据或其它信息的第三方存储库。计算机18还可以用于提供诸如dns服务的因特网连接,或者作为使用dhcp或其它合适协议的网络地址服务器为车辆12分配ip地址。
呼叫中心20被设计为向车辆电子设备28提供多个不同的系统后端功能,并且根据这里示出的示例性实施例,通常包括一个或多个交换机80、服务器82、数据库84、实时顾问86,以及自动语音应答系统(vrs)88,所有这些都是本领域已知的。这些各种呼叫中心部件优选地通过有线或无线局域网90彼此耦合。可以是专用交换机(pbx)的交换机80路由入射信号,使得语音传输通常通过常规电话发送到实时顾问86,或者使用voip发送到自动语音响应系统88。实时顾问电话还可以使用如图1中虚线所示的voip。通过交换机80的voip和其它数据通信通过连接在交换机80和网络90之间的调制解调器(未示出)来实现。数据传输通过调制解调器传递到服务器82和/或数据库84。数据库84可以存储诸如用户认证信息、车辆标识符、简档记录、行为模式和其它相关用户信息的帐户信息。数据传输也可以由诸如802.11x,gprs等无线系统进行。虽然已经描述了所示实施例,它将与使用实时顾问86的有人呼叫中心20一起使用,但是应当理解,呼叫中心可以替代地使用vrs88作为自动顾问,或者可以使用vrs88和实时顾问86的结合。
独立时间服务器的联合可以被实现为远离连接设备的三台或更多台计算机,并被配置为维持时间值以及用于验证连接设备的时间值的管脚组。示出了仅专用于作为时间服务器的两个独立的时间服务器92,94。独立时间服务器92,94上的计算机可以包括一个或多个微处理器,存储设备和总体能够存储数字证书并维持时间值的输入/输出设备。类似于处理器52,独立时间服务器92,94可以各自维护产生对应于纪元时间的值的64位计数器。此外,独立时间服务器92,94可以接收一个或多个数字证书和联合中的所有独立时间服务器的列表。数字证书和列表可以存储在存储设备中作为管脚组。应当理解,附加的独立时间服务器可以与独立时间服务器92,94一起使用或替代独立时间服务器92,94。独立时间服务器可以在还进行其它活动的设施上进行维护。在一个示例中,计算机18、呼叫中心20或两者可以维持时间值和用于验证连接设备的时间值的管脚组。在这种布置中,时间服务器的联合组可以由独立时间服务器92,94以及计算机18和呼叫中心20处维护的独立时间服务器形成。虽然这个示例包含四个独立的时间服务器,但是服务器的数量范围可以是三个到n个。维护独立时间服务器的分离可以帮助增加时间服务器的联合组发送到车辆的时间值的信任量。
方法-
现在转到图2,示出了在连接设备中建立安全时间值的方法(200)的实施例。将关于车辆远程信息处理单元30描述用于方法200和300的连接设备。然而,这些方法也可以应用于其它类型的连接设备,例如上面讨论的智能电话57或pc。方法200从步骤210开始,从独立时间服务器92无线地接收在车辆远程通讯单元30上的时间值。独立时间服务器92(或其它独立时间服务器)可被编程为周期性地向一个或多个车辆发送时间值。独立时间服务器92可以通过无线载波系统14将服务器92处维持的时间值无线地发送到车辆远程信息处理单元30。方法200前进到步骤220。
在步骤220,确定从独立时间服务器92接收到的时间值是否早于车辆远程信息处理单元30维持的当前时间值。车辆远程信息处理单元30可以检查其操作的时间计数器以确定当前时间值。在确定车辆远程信息处理单元30处维持的当前时间值之后,可将其与从独立时间服务器92接收到的时间值进行比较。方法200前进到步骤230。
在步骤230,当确定接收到的时间值早于车辆远程信息处理单元30处维持的当前时间值时,拒绝接收到的时间值。然而,当接收到的时间值被确定为与在车辆远程信息处理单元30处维持的当前时间值相同或迟于当前时间值时,可以用接收到的时间值来替换车辆上的当前时间值。车辆远程信息处理单元30可以执行这种比较,以防止车辆12处维持的时间值未经授权被返回。可以使用已经被信任机构认证以在一段时间段内有效的数字证书访问车辆12。车辆12处维持的时间值的操纵可以显着降低这种数字证书的安全性,因为证书在时间方面已经变得无效。
在本示例中,车辆远程信息处理单元30可以从独立时间服务器92接收时间值,并且确定其与车辆12处维持的时间相同或迟于车辆12处维持的时间。然后车辆远程信息处理单元30可以基于从独立时间服务器92接收的时间值来调整车辆远程信息处理单元30维护的时间计数器。在一些实施方式中,车辆远程信息处理单元30可以接收稍早于车辆12处维持的值的时间值,并且仍然得出结论:接收到的时间值与车辆12处维持的时间值“相同”。比如,从独立时间服务器92接收到的时间值可以在车辆12处维持的时间值之前多达5分钟,并且仍然被认为是相同的,使得车辆远程信息处理单元30可以调整它的时间计数器以反映这五分之差。然后,方法200结束。
转到图3,示出了在车辆远程信息处理单元30中建立安全时间值的方法(300)的另一实施例。方法300开始于在车辆远程信息处理单元30处接收一个或多个可信数字证书,可信数字证书也存储在远离车辆远程信息处理单元30的三个或更多个可信独立时间服务器上。可信的数字证书可以由车辆12和独立时间服务器所信任的源来创建。在一种实施方式中,该源可以是创建并维护车辆12和独立时间服务器处存储的可信数字证书的车辆制造商。在本示例中,多个时间服务器可以存在于包括独立时间服务器92,94以及由计算机18和呼叫中心20操作的独立时间服务器的联合中。对于这个示例,联合包括四个独立时间服务器,但是通常,联合可以是一组三个或更多个独立时间服务器,每个服务器存储可信的数字证书,维持表示当前时间的时间值,诸如纪元时间值,并且还维护联合中独立时间服务器的列表。
联合中的每个独立时间服务器可以接收和存储标识联合包括的所有独立时间服务器以及数字证书的列表。数字证书和独立时间服务器列表的组合也可以称为管脚组。可以将管脚组提供给联合中的每个独立时间服务器以及车辆远程信息处理单元30,以执行证书锁定。当制造车辆12时,车辆远程信息处理单元30可以接收管脚组,或者可以从中央设施(诸如计算机18)将管脚组安全地远程提供给车辆远程信息处理单元30。管脚组也可以从单向通信的独立机构通过陆地网络16发送到联合中的独立时间服务器:独立时间服务器92,94以及计算机18和呼叫中心20处维护的时间服务器。
然后,车辆远程信息处理单元30可以从联合中的每个独立时间服务器请求时间值,并且可以出于多个原因的任何一个来执行此操作。在一些实施方式中,车辆远程信息处理单元30可以检测到从gps模块40接收到的时间值与在车辆12处维持的时间值不同步。或者在其它实施方式中,车辆事件可以触发车辆远程信息处理单元30从联合请求时间值。这些车辆事件包括周期性时间触发,启动wi-fi或蜂窝连接,车辆启动,或者当用于维持车辆上的时间值的计数器将自动重置。只要单元30确定维持车辆12处的时间值的计数器被重置,车辆远程信息处理单元30也可以从联合请求时间值。当车辆远程信息处理单元30检测到其时间值已经被篡改时,也可以从联合请求时间值。方法300前进到步骤320。
在步骤320,在车辆远程信息处理单元30处接收时间值和管脚组的散列。在接收到时间值的请求之后,独立时间服务器92、94,计算机18和呼叫中心20可以选择数字证书并访问它们中每个存储的管脚组。可以在独立时间服务器92,94,计算机18和呼叫中心20(即,联合)处创建管脚组的散列,并与选定的数字证书一起发送到车辆远程信息处理单元30。方法300前进到步骤330。
在步骤330,使用车辆远程信息处理单元30处存储的管脚组来验证从车辆远程信息处理单元30处的多个独立时间服务器中的每一个接收到的散列。车辆远程信息处理单元30可以访问其在车辆12处存储的管脚组,该管脚组应该是独立时间服务器使用的管脚组的副本,并且确定车辆12接收到的数字证书是否有效。车辆远程信息处理单元30可以识别联合中的独立时间服务器是否包括在该管脚组中。这可以通过使用其管脚组验证从车辆远程信息处理单元30处的每个独立时间服务器接收到的散列来实现。此外,车辆远程信息处理单元30可以接受从联合中的独立时间服务器的聚合返回的中位值。当与其它时间值相比时,统计分析确定为异常值的任何时间值都可以被认为是无效的。这些统计分析技术是本领域技术人员已知的。确定与中位时间值相差特定阈值的时间值可以被拒绝。阈值可以在大于500ms至1秒或更多的量的任何值。方法300前进到步骤340。
在步骤340,车辆远程信息处理单元30确定从多个独立时间服务器接收的哪些散列是有效的,并接受用有效的散列接收的时间值。在正常操作期间,可以在车辆远程信息处理单元30处接收并由其验证从独立时间服务器的联合发送的管脚组的散列。并且与这些散列相关联的时间值可能都在彼此的一个标准偏差之内。当所有散列都被验证时,车辆远程信息处理单元30可以确定与散列一起发送的时间值的平均值,然后用确定的时间值来更新车辆12处维持的时间值。
然而,当与从车辆12处存储的管脚组产生的散列相比较时,车辆远程信息处理单元30有时可以确定由联合中独立时间服务器发送的散列中的一个或多个是无效的。然后,车辆远程信息处理单元30可以决定是否信任发送已验证散列的联合中的独立时间服务器发送的时间值,即使联合中的某些其它服务器未被验证。在一些实施方式中,车辆远程信息处理单元30可以确定在联合中服务的独立时间服务器的数量,然后计算已经被验证的那些独立时间服务器的比例。当联合中经过验证的时间服务器的比例小于50%时,车辆远程信息处理单元30可以确定从联合接收的时间值中的任何一个值都不应该被信任,即使是从发送可以被验证的散列的独立时间服务器中接收的时间值。车辆远程信息处理单元30可以设置进行该确定的测试,其中k等于受损时间服务器的数量,n等于联合中的独立时间服务器的总数。当2*k+1的值大于n时,车辆远程信息处理单元30可以忽略从联合接收到的所有时间值。
当2*k+1的值小于或等于n时,车辆远程信息处理单元30可以使用从联合中的已验证的独立时间服务器接收到的时间值,并从已验证的时间服务器生成可信时间。集中式设施可以定期联系联合中的独立时间服务器,并监控这些服务器维持的时间值。当时间服务器维持不同的时间时,集中式设施可以协调所有服务器处维持的时间值。但是应该明白,与联合中的独立时间服务器维持空气间隙是重要的,以维持独立性并防止恶意攻击。然后,方法300结束。
可以理解的是,前面是本发明的一个或多个实施例的详细描述。本发明不限于在此公开的特殊的实施例,而是由下面的权利要求书来唯一限定。此外,包括在前述描述中的声明涉及具体的实施例,不能解释为限定本发明的范围或限定权利要求所使用的术语,除非该术语或措词在上面进行了特别的限定。各种其它的实施例和已公开实例的各种变化以及修改对本领域技术人员而言显而易见。各种其它的实施例、各种变形和变化都应确定为附后权利要求的范围之内。
在说明书和权利要求中所使用的术语“如”、“例如”、“比如”、“诸如”、和“类似”,以及动词“包括”、“具有”、,“包含”和它们其它的动词形式,当与一个或多个元件或其它术语列表结合使用时,每个应解释为开放式,意思是所述列表不应被看作排除了其它附加部件或项目。其它术语采用其最广泛的合理含义来解释,除非其用于要求有不同解释的上下文中。