电子控制单元ECU及其安全通信方法、系统与流程

本发明涉及汽车技术领域，尤其涉及一种电子控制单元ecu及其安全通信方法、系统。

背景技术：

随着汽车后装市场的普及，车主在车辆被售出后可以轻易给车辆安装非原厂零部件，这些非原厂零部件很可能使用了不成熟或存在缺陷的软件，从而给车辆的安全通信带来很大的隐患，而且，现有的保障车辆安全通信的技术完全依赖于服务器的安全运行，如果服务器出现问题，车辆便无法进行安全通信。

技术实现要素：

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的第一个目的在于提出一种电子控制单元ecu的安全通信方法，可以在不依赖服务器或诊断仪的前提下保障车辆的零部件之间的通信安全。

本发明的第二个目的在于提出一种电子控制单元ecu的安全通信系统。

本发明的第三个目的在于提出一种电子控制单元ecu。

为达到上述目的，本发明第一方面实施例提出了一种电子控制单元ecu的安全通信方法，所述车辆包括多个ecu，所述安全通信方法包括以下步骤：整车上电启动后，所述多个ecu中的一个ecu随机生成一个通信密钥，记为第一密钥，其中，所述生成通信密钥的ecu记为初始ecu；所述初始ecu对所述第一密钥进行加密处理，得到第一加密数据；所述初始ecu将所述第一加密数据分别发送至其他ecu；所述其他ecu对所述第一加密数据进行解密处理，得到所述第一密钥；各所述ecu采用所述第一密钥进行加密通信。

本发明实施例的电子控制单元ecu的安全通信方法，通过初始ecu随机生成一个第一密钥并对其加密得到第一加密数据，初始ecu将第一加密数据发送至其他ecu，其他ecu对第一加密数据进行解密处理得到第一密钥并通过第一密钥进行加密通信。由此，通过车辆零部件之间的互相认证，在不依赖服务器或诊断仪的前提下保障车辆的零部件之间的通信安全。

另外，本发明上述的电子控制单元ecu的安全通信方法还可以具有如下附加的技术特征：

根据本发明的一个实施例，各所述ecu均设置有私钥、全部ecu的公钥和id值，所述初始ecu对所述第一密钥进行加密处理，包括：所述初始ecu将自身的id值附加至所述第一密钥上，得到第一数据；所述初始ecu采用自身的私钥对所述第一数据进行加密，得到第二数据；所述初始ecu将自身的id值附加至所述第二数据上，得到第三数据；所述初始ecu采用所述其他ecu的公钥分别对所述第三数据进行加密，得到多个第四数据。

根据本发明的一个实施例，所述第一加密数据包括所述多个第四数据，所述初始ecu将所述第一加密数据分别发送至其他ecu，包括：所述初始ecu将所述多个第四数据分别对应发送至相应的ecu。

根据本发明的一个实施例，所述其他ecu对所述第一加密数据进行解密处理，包括：所述其他ecu采用自身私钥对接收到的第四数据进行解密，得到第五数据；所述其他ecu对所述第五数据进行解析，得到第一id值和第六数据；所述其他ecu采用所述初始ecu的公钥对所述第六数据进行解密，得到第七数据；所述其他ecu对所述第七数据进行解析，得到第二id值和第二密钥。

根据本发明的一个实施例，所述电子控制单元ecu的安全通信方法还包括：所述其他ecu比较所述第一id值和所述第二id值之间的关系；如果所述第一id值和所述第二id值相等，则所述其他ecu判定该ecu为原厂安装的安全可信任ecu,记录第二密钥为第一密钥。

根据本发明的一个实施例，所述电子控制单元ecu的安全通信方法还包括：当有新增ecu接入所述车辆后，所述新增ecu将自身的公钥和id值，以及所述车辆的身份信息发送至服务器或者诊断仪；所述服务器或者所述诊断仪对所述新增ecu进行身份认证，并在认证通过后，根据所述身份信息获取所述车辆当前所有ecu的公钥和id值，并对所述新增ecu的公钥和id值进行加密处理，得到第二加密数据，以及对所述车辆当前所有ecu的公钥和id值进行加密处理，得到第三加密数据；所述服务器或者所述诊断仪将所述第二加密数据发送至所述车辆的当前所有ecu，以使所述当前所有ecu记录所述新增ecu的公钥和id值；所述服务器或者所述诊断仪将所述第三加密数据发送至所述新增ecu，以使所述新增ecu记录所述车辆当前所有ecu的公钥和id值。

为达到上述目的，本发明第二方面实施例提出了一种电子控制单元ecu的安全通信系统，所述安全通信系统包括初始ecu和至少一个目标ecu，其中，所述初始ecu，用于在整车上电启动后，随机生成一个通信密钥，记为第一密钥；并对所述第一密钥进行加密处理，得到第一加密数据；以及将所述第一加密数据发送至各所述目标ecu；所述目标ecu，用于对所述第一加密数据进行解密处理，得到所述第一密钥；其中，在所述目标ecu得到所述第一密钥后，所述初始ecu与各所述目标ecu，以及各所述目标ecu之间，采用所述第一密钥进行加密通信。

本发明实施例的电子控制单元ecu的安全通信系统，通过初始ecu在整车上电后随机生成一个第一密钥，并对第一密钥进行加密得到第一加密数据，进而将第一加密数据发送给目标ecu，目标ecu对第一加密数据进行解密得到第一密钥，各ecu间采用第一密钥进行加密通信。由此，通过车辆零部件之间的互相认证，在不依赖服务器或诊断仪的前提下保障车辆的零部件之间的通信安全。

另外，本发明上述的电子控制单元ecu的安全通信系统还可以具有如下附加的技术特征：

根据本发明的一个实施例，所述电子控制单元ecu的安全通信系统还包括：所述初始ecu和所述目标ecu均设置有私钥，以及所述初始ecu和所述目标ecu的公钥和id值。

根据本发明的一个实施例，所述电子控制单元ecu的安全通信系统还包括：新增ecu、服务器或者诊断仪，其中，所述新增ecu，用于在接入所述车辆后，将自身的私钥、公钥和id值，以及所述车辆的身份信息发送至所述服务器或者所述诊断仪；所述服务器或者所述诊断仪，用于对所述新增ecu进行身份认证，并在认证通过后，根据所述身份信息获取所述初始ecu和所述目标ecu的公钥和id值；对所述新增ecu的公钥和id值进行加密处理，得到第二加密数据，以及对所述初始ecu和所述目标ecu的公钥和id值进行加密处理，得到第三加密数据；将所述第二加密数据发送至所述初始ecu和所述目标ecu，以及将所述第三加密数据发送至所述新增ecu；其中，所述新增ecu，还用于记录所述初始ecu和所述目标ecu的公钥和id值；所述初始ecu和所述目标ecu，还用于记录所述新增ecu的公钥和id值。

为达到上述目的，本发明第三方面实施例提出了一种电子控制单元ecu,其包括生成模块，用于在整车上电启动后，生成一个通信密钥，记为第一密钥；加密模块，用于对所述第一密钥进行加密处理，得到第一加密数据，以及在车辆的所有ecu均得到所述第一密钥后，采用所述第一密钥对通信数据进行加密；通信模块，用于将所述第一加密数据分别发送至其他ecu，以使所述其他ecu对所述第一加密数据进行解密处理，得到所述第一密钥，以及传输采用所述第一密钥加密后的通信数据；解密模块，用于对所述通信模块接收到的加密数据进行解密处理。

本发明实施例的电子控制单元ecu，通过实现上述的电子控制单元ecu的安全通信方法，在不依赖服务器或诊断仪的前提下可保障车辆的零部件之间的通信安全。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

图1是本发明一个实施例的电子控制单元ecu的安全通信方法的流程图；

图2是本发明一个实施例的对第一密钥进行加密处理的流程图；

图3是本发明一个实施例的对第一加密数据进行解密处理的流程图；

图4是本发明另一个实施例的电子控制单元ecu的安全通信方法的流程图；

图5是本发明一个实施例的电子控制单元ecu的安全通信系统的结构框图；

图6是本发明另一个实施例的电子控制单元ecu的安全通信系统的结构框图；

图7是本发明实施例的电子控制单元ecu的结构框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参考附图描述本发明实施例的电子控制单元ecu及其安全通信方法、系统。

在本发明实施例中，车辆包括多个ecu，车辆出厂时，在车辆全部ecu和通信模块内均设置有私钥、全部ecu的公钥和id值，同时将车辆全部ecu的公钥和id值存储在服务器或者诊断仪内，车厂生产的每一个作为备件的零部件也均设置有零部件的私钥、至少一个服务器或诊断仪的公钥和id值。

图1是本发明一个实施例的电子控制单元ecu的安全通信方法的流程图。

需要说明的是，本发明一个实施例中的各ecu之间可以通过车辆自身的局域网进行互相认证和安全通信，不依赖服务器或诊断仪。

如图1所示，本发明一个实施例的电子控制单元ecu的安全通信方法包括以下步骤：

s11，整车上电启动后，多个ecu中的一个ecu随机生成一个通信密钥，记为第一密钥，其中，生成通信密钥的ecu记为初始ecu。

可选地，车辆可以在出厂时在本车所有ecu中选择一个ecu，并将其记为初始ecu；车辆也可以在每次整车上电启动时从本车所有的ecu中随机选择一个ecu，并将其记为初始ecu。

s12，初始ecu对第一密钥进行加密处理，得到第一加密数据。

具体地，各ecu均设置有私钥、全部ecu的公钥和id值，在某一个ecu被记为初始ecu后，其根据内部设置的私钥、全部ecu的公钥和id值对第一密钥进行加密处理。

作为一个示例，如图2所示，初始ecu对第一密钥进行加密处理的流程可如下：

s21，初始ecu将自身的id值附加至第一密钥上，得到第一数据。

s22，初始ecu采用自身的私钥对第一数据进行加密，得到第二数据。

具体地，初始ecu采用自身的私钥对第一数据进行加密，从而令其他ecu能够根据私钥确认初始ecu不是第三方ecu。

s23，初始ecu将自身的id值附加至第二数据上，得到第三数据。

s24，初始ecu采用其他ecu的公钥分别对第三数据进行加密，得到多个第四数据。

具体地，初始ecu使用存储在自己内部的所有其他ecu的公钥对第三数据进行逐一加密，初始ecu内部存储的每一个其他ecu的公钥均被用来加密以生成一个与该公钥对应的第四数据，将所有的第四数据合并为一个数据包，进一步地，令该数据包为第一加密数据。从而实现第三方ecu或其他设备无法解密数据，防止第三方ecu或其他设备获得第三数据。

s13，初始ecu将第一加密数据分别发送至其他ecu。

具体地，第一加密数据包括多个第四数据，初始ecu将第一加密数据分别发送至其他ecu，包括：初始ecu将多个第四数据分别对应发送至相应的ecu。

s14，其他ecu对第一加密数据进行解密处理，得到第一密钥。

作为一个示例，如图3所示，其他ecu对第一加密数据进行解密处理的流程可如下：

s31，其他ecu采用自身私钥对接收到的第四数据进行解密，得到第五数据。

具体地，其他ecu在接收到第一加密数据后，采用自身私钥对接收到的第一加密数据中的每个第四数据进行逐一解密，由于初始ecu使用所有其他ecu的公钥对第三数据进行加密得到第一加密数据，其他每个ecu均只能解密接收到的第一加密数据中的一个第四数据，该第四数据与该ecu的公钥和私钥对应，该ecu对该第四数据进行解密得到第五数据，不能解密的第四数据直接舍弃。

s32，其他ecu对第五数据进行解析，得到第一id值和第六数据。

s33，其他ecu采用初始ecu的公钥对第六数据进行解密，得到第七数据。

s34，其他ecu对第七数据进行解析，得到第二id值和第二密钥。

s35，其他ecu比较第一id值和第二id值之间的关系。

s36，第一id值和第二id值相等，则其他ecu判定该ecu为原厂安装的安全可信任ecu,记录第二密钥为第一密钥。

具体地，如果第一id值和第二id值相等，可以判断发送密钥的ecu为本车的ecu，进而将对第七数据解密的得到的第二密钥视为第一密钥。

s15，各ecu采用第一密钥进行加密通信。

具体地，初始ecu与其他ecu之间的通信采用第一密钥进行加密，其他ecu之间的通信也采用第一密钥进行加密。

图4是本发明另一个实施例的电子控制单元ecu的安全通信方法的流程图。

如图4所示，本发明另一个实施例的电子控制单元ecu的安全通信方法包括以下步骤：

s41，当有新增ecu接入车辆后，新增ecu将自身的公钥和id值，以及车辆的身份信息发送至服务器或者诊断仪。

其中，新增ecu通过预先设置的服务器或诊断仪的公钥将自身的公钥、id值以及车辆的身份信息加密，并将加密后的数据发送至与上述服务器或诊断仪。

s42，服务器或者诊断仪对新增ecu进行身份认证，并在认证通过后，根据身份信息获取车辆当前所有ecu的公钥和id值，并对新增ecu的公钥和id值进行加密处理，得到第二加密数据，以及对车辆当前所有ecu的公钥和id值进行加密处理，得到第三加密数据。

其中，服务器或者诊断仪通过车辆的身份信息确认新增ecu接入的车辆，通过新增ecu的id确认新增ecu的身份，进而通过服务器或者诊断仪内部存储的数据获取车辆全部ecu的公钥和id值。

可选地，服务器或诊断仪可以采用自身存储的加密算法的私钥进行加密处理以得到第二加密数据和第三加密数据，车辆当前所有ecu与新增ecu内均存储有上述加密算法的公钥；服务器或诊断仪也可以采用车辆当前所有ecu的公钥进行加密处理以得到第二加密数据，采用新增ecu的公钥进行加密处理以得到第三加密数据。

s43，服务器或者诊断仪将第二加密数据发送至车辆的当前所有ecu，以使当前所有ecu记录新增ecu的公钥和id值。

s44，服务器或者诊断仪将第三加密数据发送至新增ecu，以使新增ecu记录车辆当前所有ecu的公钥和id值。

综上，本发明实施例的电子控制单元ecu的安全通信方法，通过车辆零部件之间的互相认证，在不依赖服务器或诊断仪的前提下保障车辆的零部件之间的通信安全。通过车辆与零部件之间的互相认证，杜绝非原厂的零部件被安装到车辆上。

图5是本发明一个实施例的电子控制单元ecu的安全通信系统的结构框图。

如图5所示，该安全通信系统100包括初始ecu101和目标单元102，其中，目标单元102包括至少一个目标ecu。

具体地，初始ecu101，用于在整车上电启动后，随机生成一个通信密钥，记为第一密钥；并对第一密钥进行加密处理，得到第一加密数据；以及将第一加密数据发送至各目标ecu；目标ecu，用于对第一加密数据进行解密处理，得到第一密钥；其中，在目标ecu得到第一密钥后，初始ecu101与各目标ecu，以及各目标ecu之间，采用第一密钥进行加密通信。

该安全通信系统，通过车辆零部件之间的互相认证，在不依赖服务器或诊断仪的前提下保障车辆的零部件之间的通信安全。

在本发明一个实施例中，初始ecu101具体用于：初始ecu101将自身的id值附加至第一密钥上，得到第一数据；初始ecu101采用自身的私钥对第一数据进行加密，得到第二数据；初始ecu101将自身的id值附加至第二数据上，得到第三数据；初始ecu101采用各目标ecu的公钥分别对第三数据进行加密，得到多个第四数据。

进一步地，初始ecu101将多个第四数据发送至目标ecu102。

在本发明一个实施例中，目标单元102具体用于：目标ecu采用自身私钥对接收到的第四数据进行解密，得到第五数据；目标ecu对第五数据进行解析，得到第一id值和第六数据；目标ecu采用初始ecu101的公钥对第六数据进行解密，得到第七数据；目标ecu对第七数据进行解析，得到第二id值和第二密钥。

进一步地，目标ecu比较第一id值和第二id值之间的关系；如果第一id值和第二id值相等，则目标ecu记录第二密钥为第一密钥。

在本发明一个实施例中，初始ecu101和目标ecu均设置有私钥，以及初始ecu101和目标ecu的公钥和id值。

图6是本发明另一个实施例的电子控制单元ecu的安全通信系统的结构框图。

如图6所示，该电子控制单元ecu的安全通信系统200包括电子控制单元ecu的安全通信系统100、新增ecu201、服务器或者诊断仪202。

具体地，新增ecu201，用于在接入所述车辆后，将自身的公钥和id值，以及车辆的身份信息发送至服务器或者诊断仪202；服务器或者诊断仪202，用于对新增ecu201进行身份认证，并在认证通过后，根据身份信息获取初始ecu101和目标ecu的公钥和id值；对新增ecu201的公钥和id值进行加密处理，得到第二加密数据，以及对初始ecu101和目标ecu的公钥和id值进行加密处理，得到第三加密数据；将第二加密数据发送至初始ecu101和目标ecu，以及将第三加密数据发送至新增ecu201；其中，新增ecu201，还用于记录初始ecu101和目标ecu的公钥和id值；初始ecu101和目标ecu，还用于记录新增ecu201的公钥和id值。

该安全通信系统，通过车辆与零部件之间的互相认证，杜绝非原厂的零部件被安装到车辆上。

需要说明的是，本发明实施例的电子控制单元ecu的安全通信系统的其他具体实施方式，可以参见上述实施例的电子控制单元ecu的安全通信方法。

综上，本发明实施例的电子控制单元ecu的安全通信系统，通过车辆零部件之间的互相认证，在不依赖服务器或诊断仪的前提下保障车辆的零部件之间的通信安全。通过车辆与零部件之间的互相认证，杜绝非原厂的零部件被安装到车辆上。

进一步地，本发明提出了一种电子控制单元ecu。

图7是本发明实施例的电子控制单元ecu的结构框图。

如图7所示，电子控制单元ecu300包括生成模块301、加密模块302、通信模块303、解密模块304。

本发明实施例的电子控制单元ecu，通过上述的电子控制单元ecu的安全通信系统，可实现在不依赖服务器或诊断仪的前提下保障车辆的零部件之间的通信安全，以及杜绝非原厂的零部件被安装到车辆上。

需要说明的是，在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。