认证密钥的传输的制作方法

1.本公开总体上涉及加密数据和认证密钥。


背景技术：

2.对称密钥算法是使用相同的密钥来加密未加密数据和解密加密数据的加密算法。对称密钥算法可以使用流密码或分组密码。流密码逐个加密消息的字符。分组密码在填充明文的同时对位块进行加密。分组加密的示例是美国国家标准与技术研究所颁布的高级加密标准算法。


技术实现要素：

3.一种计算机包括处理器和存储指令的存储器，所述指令可由该处理器执行以：在接收到授权消息时，向相应的多个控制模块传输多个新的认证密钥，所述存储器包括所述授权消息的到期时间；用相应的新的认证密钥到相应控制模块的传输的相应状态来更新控制模块的列表，其中每个状态是成功或不成功中的一者；在至少一个状态为不成功时，阻止授权消息在到期时间到期；在阻止授权消息到期之后，向相应状态为不成功的每个控制模块重新传输相应的新的认证密钥；并且之后使该授权消息到期。
4.所述指令可以包括在至少一个状态为不成功时向操作员输出错误通知的指令。错误通知可以识别相应状态为不成功的每个控制模块。
5.所述指令可以包括用于在重新传输之后更新相应的新的认证密钥重新传输到的每个控制模块的相应状态的指令。
6.所述指令可以包括用于基于在自将相应的新的认证密钥传输到所述相应控制模块的时间阈值内从所述控制模块接收到成功通知来确定每个状态是成功还是不成功的指令。
7.所述指令可以包括除了在接收到所述授权消息与所述授权消息到期之间，阻止所述新的认证密钥的所述传输的指令。
8.对于所述相应控制模块，所述表可包括所述相应控制模块的相应网络地址、所述相应状态和相应计数器，并且每个计数器可指示所述相应控制模块已经接收到的不同的新的认证密钥的数量。对于所述相应控制模块，所述表可包括传输到所述相应控制模块的所述相应的新的认证密钥的相应密钥标识符。所述指令可包括在更新所述表之后向操作员输出汇总表的指令，所述汇总表可包括所述相应控制模块的所述相应网络地址、和所述相应状态，并且所述汇总表可缺少所述相应密钥标识符。
9.一种系统包括多个控制模块、计算机以及连接所述计算机和所述控制模块的有线通信网络。所述计算机被编程为：在接收到授权消息时，向相应的控制模块传输多个新的认证密钥，其中所述计算机存储有所述授权消息的到期时间；用相应的新的认证密钥到相应控制模块的传输的相应状态来更新列出控制模块的表，其中每个状态是成功或不成功中的一者；在至少一个状态为不成功时，阻止授权消息在到期时间到期；在阻止授权消息到期之
后，向相应状态为不成功的每个控制模块重新传输相应的新的认证密钥；并且之后使该授权消息到期。
10.所述计算机可以还被编程为从远离所述有线通信网络的服务器接收所述授权消息。
11.所述计算机可以还被编程为在至少一个状态为不成功时向操作员输出错误通知。错误通知可以识别相应状态为不成功的每个控制模块。
12.所述计算机可以还被编程为在重新传输之后更新相应的新的认证密钥重新传输到的每个控制模块的相应状态。
13.所述控制模块可被编程为在接收到所述相应的新的认证密钥时，向所述计算机传输成功通知，并且所述计算机可还被编程为基于在自将所述相应的新的认证密钥传输到所述相应控制模块的时间阈值内从所述控制模块接收到成功通知来确定每个状态是成功还是不成功。
14.所述计算机可还被编程为除了在接收到所述授权消息与所述授权消息到期之间，阻止所述新的认证密钥的所述传输。
15.对于所述相应控制模块，所述表可包括所述相应控制模块的相应网络地址、所述相应状态和相应计数器，并且每个计数器可指示所述相应控制模块已经接收到的不同的新的认证密钥的数量。对于所述相应控制模块，所述表可包括传输到所述相应控制模块的所述相应的新的认证密钥的相应密钥标识符。
16.每个控制模块可被编程为在接收到所述相应的新的认证密钥时更新本地表，所述本地表可包括由所述控制模块接收的所述相应的新的认证密钥的密钥标识符、所述控制模块的所述状态、和计数器，并且所述计数器可指示所述控制模块已经接收到的不同的新的认证密钥的数量。
17.一种方法包括：在接收到授权消息时，向相应的多个控制模块传输多个新的认证密钥；用相应的新的认证密钥到相应控制模块的传输的相应状态来更新列出控制模块的表，其中每个状态是成功或不成功中的一者；在至少一个状态为不成功时，阻止授权消息在所述授权消息的到期时间到期；在阻止授权消息到期之后，向相应状态为不成功的每个控制模块重新传输相应的新的认证密钥；并且之后使该授权消息到期。
附图说明
18.图1是示例性车辆的框图。
19.图2是用于车辆的控制模块的认证密钥的状态表的图示。
20.图3是控制模块中的一者的本地的认证密钥中的一者的状态表的图示。
21.图4是用于控制模块的认证密钥的状态的汇总表的图示。
22.图5是用于更新用于车辆的控制模块的认证密钥的示例性过程的过程流程图。
23.图6是用于由控制模块中的一者对新的认证密钥作出响应的示例性过程的过程流程图。
具体实施方式
24.参考附图，车辆100包括计算机102和多个控制模块104。计算机102与控制模块104
之间以及控制模块104之间的通信例如使用对称密钥算法进行加密。在存在来自计算机102和/或控制模块104的发送器和接收器的通信中，发送器和接收器都存储有相同的认证密钥，发送器使用该认证密钥来加密通信，并且接收器使用该认证密钥来解密所述通信，如果所述通信被拦截，这可以防止所述通信的内容被知道。
25.然而，如果第三方发现了认证密钥，则第三方将能够理解所拦截的通信的内容。因此，必须以安全的方式分发认证密钥。可以在制造车辆100时执行认证密钥的初始分发。但是可能会出现需要随后分发新的认证密钥的情况，例如，控制模块104中的一个被替换，这意味着新的控制模块104不具有与计算机102相同的认证密钥并且不能与计算机102(和/或其他控制模块104)交换加密的通信。
26.如本文所述，可以由可信源(例如，属于车辆100的制造商的远程服务器116)针对受限窗口提供用于分发认证密钥的后续授权，并且可以仅向特定方提供该授权，例如，制造商许可的技术人员。技术人员从远程服务器116请求授权，使得远程服务器116可以跟踪和控制授权。授权计算机102分发新的认证密钥的授权消息可以在短时间之后到期，以限制认证密钥可为可访问的时间。如果授权到期并且向控制模块104中的一者分发新的认证密钥不成功，则技术人员将必须从远程服务器116重新请求授权。如下所述，当控制模块104中的一者没有接收到其新的认证密钥时，计算机102可以延迟授权的到期，从而消除对重新请求的需要，同时仍然保持尽可能短的到期时间。
27.车辆100中的计算机102包括处理器和存储指令的存储器，所述指令可由该处理器执行以：在接收到授权消息时，向相应的多个控制模块104传输多个新的认证密钥，所述存储器包括所述授权消息的到期时间；用相应的新的认证密钥到相应控制模块104的传输的相应状态108来更新列出控制模块104的表106等，其中每个状态108是成功或不成功中的一者；在至少一个状态108为不成功时，阻止授权消息在到期时间到期；在阻止授权消息到期之后，向相应状态108为不成功的每个控制模块104重新传输相应的新的认证密钥；并且之后使该授权消息到期。
28.计算机102的编程提供从计算机102到控制模块104的新的认证密钥的分发，从而使用例如对称密钥算法实现计算机102与控制模块104之间的加密的通信。所述系统提供新的认证密钥的改进且安全的分发，因为授权消息可限于仅在计算机102和控制模块104处于安全环境中时(例如，当车辆100处于服务中心并且正在由技术人员操作时)的分发。授权消息被设置为到期，从而限制了可以将新的认证密钥分发给控制模块104的时间范围。此外，所述系统实现了这些益处，同时通过暂时延迟授权消息的到期时间来帮助确保成功地分发新的认证密钥，从而避免了技术人员在新的认证密钥的初始传输中的一者不成功的情况下重新请求授权消息的需要。
29.参考图1，车辆100可为任何合适类型的汽车，例如乘用车或商用车，诸如四门轿车、双门小轿车、卡车、运动型多用途车、跨界车、厢式货车、小型货车、出租车、公共汽车等。例如，车辆100可为自主车辆。换句话说，车辆100可以自主操作，使得车辆100可以在没有驾驶员持续关注的情况下被驾驶，即，车辆100可以在没有人工输入的情况下自动-驾驶。
30.计算机102是基于微处理器的计算装置，例如，通用计算装置(包括处理器和存储器、电子控制器等)、现场可编程门阵列(fpga)、专用集成电路(asic)等。计算机102可以因此包括处理器、存储器等。计算机102的存储器可包括用于存储可由处理器执行的指令以及
用于电子存储数据和/或数据库的介质，和/或计算机102可以包括诸如提供编程的前述结构之类的结构。
31.计算机102可通过有线通信网络110(诸如控制器局域网(can)总线、以太网、局域互连网(lin)、车载诊断连接器(obd-ii))、任何其他类型的有线网络或不同类型的有线网络的组合传输和接收数据。计算机102可以经由有线通信网络110通信地耦合到控制模块104、用户界面112、收发器114和其他部件。
32.控制模块104是基于微处理器的计算装置，例如，通用计算装置(各自包括处理器和存储器、电子控制器等)、现场可编程门阵列(fpga)、专用集成电路(asic)等。每个控制模块104因此可以包括处理器、存储器等。每个控制模块104的存储器可包括用于存储可由处理器执行的指令以及用于电子存储数据和/或数据库的介质，和/或每个控制模块104可以包括诸如提供编程的前述结构之类的结构。控制模块104可以操作车辆100中的不同系统，例如车身控制模块、动力传动系统控制模块、约束控制模块等。
33.用户界面112向与车辆100交互的人(例如，车辆100中的乘员或服务车辆100的技术人员)呈现信息并从其接收信息。例如，用户界面112可位于例如车辆100的乘客舱中的仪表板上，或者位于乘员可容易看到的任何地方。用户界面112可包括用于向乘员提供信息的刻度盘、数字读出装置、屏幕、扬声器等，例如，诸如已知的人机接口(hmi)元件。用户界面112可包括用于从乘员接收信息的按钮、旋钮、小键盘、传声器等。对于另一个示例，用户界面112可以是用于接受obd-ii扫描仪的车载诊断(obd-ii)端口。
34.收发器114适用于通过任何合适的无线通信协议(诸如wifi、ieee 802.11a/b/g、其他rf(射频)通信等)无线地发射信号。收发器114可适于与远程服务器116(即，与车辆100不同且间隔开的服务器)通信。收发器114可以是一个装置，或者可包括单独的发射器和接收器。
35.具体地，远程服务器116可以是专用于服务车辆(诸如车辆100)的服务器。远程服务器116远离有线通信网络110。远程服务器116可以是用于分发新的认证密钥的授权消息的源，如下所述。
36.参考图2，表106存储在计算机102的存储器中。表106具有用于车辆100中的多个控制模块104的条目。在控制模块104中的一者的相应条目中，表106可以包括网络地址118、密钥标识符120、状态108和计数器122。每个网络地址118识别相应控制模块104在有线通信网络110上的位置。每个密钥标识符120识别传输到相应控制模块104的新的认证密钥，因此可以确定计算机102和相应控制模块104是否正在使用相同的认证密钥而不必传输和潜在地暴露该认证密钥。每个状态108指示新的认证密钥是否被成功传输，并且每个状态108是成功或不成功中的一者。每个计数器122指示相应控制模块104已经接收到的不同的新的认证密钥的数量。例如，每个计数器122可以具有三个位，其中000(二进制0)表示工厂安装的认证密钥，并且计数器122可以随着新的认证密钥被传输到相应控制模块104从001(二进制1)循环到111(二进制7)。
37.参考图3，控制模块104可以将本地表124存储在存储器中。每个控制模块104上的本地表124可以包括由该控制模块104接收的最近接收的新的认证密钥的密钥标识符120、该控制模块104的状态108以及该控制模块104的计数器122。本地表124可缺少网络地址118并且可缺少用于其他控制模块104的数据。
38.参考图4，计算机102可以例如经由用户界面112输出汇总表126。汇总表126具有用于每个控制模块104的条目。在控制模块104中的一者的每个条目中，汇总表126包括该控制模块104的网络地址118和状态108。汇总表126缺少密钥标识符120和计数器122。
39.图5是示出用于更新控制模块104的认证密钥的示例性过程500的过程流程图。计算机102的存储器存储用于执行过程500的步骤的可执行指令和/或可以诸如上述的结构来实施编程。作为过程500的总体概述，除了为介于接收到授权消息与授权消息到期之间的时间的时间段，计算机102阻止新的认证密钥的传输。当计算机102接收到授权消息时，计算机102生成新的认证密钥，并且针对多个控制模块104中的每一者，传输相应的新的认证密钥并基于控制模块104是否传输指示接收到所述新的认证密钥的成功通知来更新表106。如果状态108中的任一者为不成功，则计算机102阻止该授权到期，输出错误通知，在接收到将新的认证密钥重新传输到具有不成功状态108的控制模块104的输入(例如，来自技术人员)时这样去做，并更新表106。接下来，或者如果所有状态108都为成功，则计算机102输出汇总表126并使授权到期。
40.过程500在框505中开始，其中计算机102阻止传输新的认证密钥，因为它未被授权进行这种传输。默认情况下，计算机102未被授权传输新的认证密钥。例外情况是，计算机102被授权在接收到授权消息与授权消息到期之间传输该新的认证密钥。
41.接下来，在决策框510中，计算机102确定计算机102是否已经接收到授权消息。授权消息源自远程服务器116，由收发器114接收，并且经由有线通信网络110传递到计算机102。计算机102的存储器包括到期时间，即，传输新的认证密钥的授权结束的时间。到期时间可以是例如计算机102的设置或参数。替代地，授权消息可以包括到期时间。如果传输为全部成功，则到期时间被选择为短但仍然足够长以使计算机102将新的认证密钥传输到控制模块104，例如，一分钟。如果计算机102尚未接收到授权消息，则过程500返回到框505以继续等待授权消息。如果计算机102已经接收到授权消息，则过程500前进到框515。
42.在框515中，计算机102生成新的认证密钥。计算机102可以使用任何合适的方法来生成新的认证密钥，例如，如已知的伪随机密钥生成器。
43.接下来，在框520中，计算机102将下一个新的认证密钥传输到相应的下一个控制模块104。计算机102可以将控制模块104的列表存储在存储器中。如果计算机102尚未传输任何新的认证密钥，则计算机102将新的认证密钥中的第一新的认证密钥传输到控制模块104的列表上的第一控制模块104-1。如果计算机102已经传输了至少新的认证密钥，则计算机102将下一个新的认证密钥传输到列表上的下一个控制模块104，例如，传输到紧接在第一控制模块104之后的第二控制模块104-2，直到n个总的控制模块104中的第n控制模块104-n。
44.接下来，在框525中，计算机102在传输下一个新的认证密钥之后等待时间阈值。时间阈值被选择为下一个控制模块104接收下一个新的认证密钥并以成功通知进行响应的时间长度，如下面关于过程600所述。
45.接下来，在框530中，计算机102用下一个认证密钥的传输的状态108来更新表106。如果计算机102在时间阈值内从下一个控制模块104接收到成功通知，则相应状态108被更新为成功，并且计数器122递增。如果计算机102在该时间阈值内未从下一个控制模块104接收到成功通知，则相应状态108被更新为不成功。
46.接下来，在决策框535中，计算机102确定是否存在计算机102尚未向其传输相应的新的认证密钥的剩余的控制模块104。如果最近传输的新的认证密钥被传输到n个总的控制模块104中的第n控制模块104-n，则没有剩余的控制模块104。如果最近传输的新的认证密钥被传输到不同的控制模块104，则存在剩余的控制模块104。如果存在至少一个剩余的控制模块104，则过程500返回到框520以传输下一个新的认证密钥。如果不存在剩余的控制模块104，则过程500前进到决策框540。
47.在决策框540中，计算机102确定授权消息的到期时间是否已经过去。如果否，则过程500返回到决策框540；换句话说，过程500等待直到到期时间过去。如果到期时间已经过去，则过程500前进到决策框545。
48.在决策框545中，计算机102确定表106是否包括任何不成功状态108，即，至少一个状态108为不成功。如果至少一个状态108为不成功，则过程500前进到框550。如果所有状态108均为成功，则过程500前进到框575。
49.在框550中，计算机102阻止授权消息在到期时间到期，即，尽管事实上到期时间已经过去。
50.接下来，在框555中，计算机102经由用户界面112向操作员输出错误通知。操作员可以是例如服务中心的技术人员。错误通知识别相应状态108为不成功的每个控制模块104。例如，错误通知可以是汇总表126。替代地或另外地，错误通知可以采用诊断故障代码(dtc)的形式，其中dtc识别具有不成功状态108的控制模块104。
51.接下来，在决策框560中，计算机102确定计算机102是否已经例如经由用户界面112从操作员接收到指示计算机102继续向具有不成功状态108的控制模块104重新传输新的认证密钥的输入。操作员可以在提供该输入之前执行某个动作，例如，更换具有不成功状态108的控制模块104。如果计算机102尚未接收到该输入，则过程500返回到框560；换句话说，过程500等待直到计算机102接收到该输入。一旦计算机102接收到该输入，过程500就前进到框565。
52.在框565中，即，在阻止授权消息到期之后，计算机102将相应的新的认证密钥重新传输到相应状态108为不成功的每个控制模块104。对于每个控制模块104，计算机102发送在上面的框520中计算机102试图传输到该控制模块104的相同的新的认证密钥。
53.接下来，在框570中，即，在重新传输之后，计算机102更新相应新的认证密钥重新传输到的每个控制模块104的相应状态108。针对计算机102在时间阈值内从其接收到成功通知的每个控制模块104，计算机102将相应状态108更新为成功，并使相应计数器122递增。针对计算机102在时间阈值内未从其接收到成功通知的每个控制模块104，计算机102将相应状态108保持为不成功。在框570之后，过程500前进到框575。
54.在框575中，计算机102然后使授权消息到期。
55.接下来，在框580中，计算机102例如经由用户界面112向操作员输出汇总表126。在框580之后，过程500结束。
56.图6是示出用于对新的认证密钥作出响应的示例性过程600的过程流程图。每个控制模块104的存储器存储用于执行过程600的步骤的可执行指令和/或可以诸如上述的结构来实施编程。作为过程600的总体概述，在接收到新的认证密钥时，控制模块104传输成功通知并更新本地表124。
57.过程600在决策框605中开始，其中控制模块104确定控制模块104是否已经经由有线通信网络110接收到相应的新的认证密钥。如果控制模块104尚未接收到相应的新的认证密钥，则过程600返回到决策框605；换句话说，过程600等待直到控制模块104接收到相应的新的认证密钥。一旦控制模块104接收到相应的新的认证密钥，过程600就前进到框610。
58.在框610中，控制模块104经由有线通信网络110将成功通知传输到计算机102。
59.接下来，在框615中，控制模块104更新本地表124。控制模块104将状态108更新为成功并使计数器122递增。在框615之后，过程600结束。
60.计算机可执行指令可以由使用各种编程语言和/或技术创建的计算机程序来编译或解译，所述编程语言和/或技术单独地或组合地包括但不限于java
tm
、c、c++、visual basic、java script、perl、html等。通常，处理器(例如，微处理器)例如从存储器、计算机可读介质等接收指令，并且执行这些指令，由此执行一个或多个过程，其包括本文所述的过程中的一者或多者。此类指令和其他数据可使用各种计算机可读介质来存储和传输。联网装置中的文件通常是存储在计算机可读介质(诸如存储介质、随机存取存储器等)上的数据的集合。计算机可读介质包括参与提供可以由计算机读取的数据(例如，指令)的任何介质。这种介质可采用许多形式，包括但不限于非易失性介质、易失性介质等。非易失性介质包括例如光盘或磁盘和其他持久性存储器。易失性介质包括通常构成主存储器的动态随机存取存储器(dram)。计算机可读介质的常见形式包括例如软盘、软磁盘、硬盘、磁带、任何其他磁性介质、cd rom、dvd、任何其他光学介质、穿孔卡、纸带、具有孔图案的任何其他物理介质、ram、prom、eprom、快闪eeprom、任何其他存储器芯片或盒式磁带、或计算机可从中读取的任何其他介质。
61.已经以说明性方式描述了本公开，并且应当理解，已经使用的术语意图具有描述性词语而非限制性词语的性质。“响应于”和“在确定
……
时”的使用指示因果关系，而不仅是时间关系。形容词“第一”和“第二”贯穿本文档用作标识符，并且不意图表示重要性、顺序或数量。鉴于以上教导，本公开的许多修改和变化是可能的，并且本公开可以不同于具体描述的其他方式来实践。
62.根据本发明，提供了一种计算机，其具有处理器和存储指令的存储器，所述指令可由该处理器执行以：在接收到授权消息时，向相应的多个控制模块传输多个新的认证密钥，所述存储器包括所述授权消息的到期时间；用相应的新的认证密钥到相应控制模块的传输的相应状态来更新控制模块的列表，其中每个状态是成功或不成功中的一者；在至少一个状态为不成功时，阻止授权消息在到期时间到期；在阻止授权消息到期之后，向相应状态为不成功的每个控制模块重新传输相应的新的认证密钥；并且之后使该授权消息到期。
63.根据实施例，所述指令包括在至少一个状态为不成功时向操作员输出错误通知的指令。
64.根据实施例，所述错误通知识别所述相应状态为不成功的每个控制模块。
65.根据实施例，所述指令包括用于在重新传输之后更新相应的新的认证密钥重新传输到的每个控制模块的相应状态的指令。
66.根据实施例，所述指令包括用于基于在自将相应的新的认证密钥传输到所述相应控制模块的时间阈值内从所述控制模块接收到成功通知来确定每个状态是成功还是不成功的指令。
67.根据实施例，所述指令包括除了在接收到所述授权消息与所述授权消息到期之间，阻止所述新的认证密钥的所述传输的指令。
68.根据实施例，对于所述相应控制模块，所述表包括所述相应控制模块的相应网络地址、所述相应状态、和相应计数器，其中每个计数器指示所述相应控制模块已经接收到的不同的新的认证密钥的数量。
69.根据实施例，对于所述相应控制模块，所述表包括传输到所述相应控制模块的所述相应的新的认证密钥的相应密钥标识符。
70.根据实施例，所述指令包括在更新所述表之后向操作员输出汇总表的指令，所述汇总表包括所述相应控制模块的所述相应网络地址、和所述相应状态，并且所述汇总表缺少所述相应密钥标识符。
71.根据本发明，提供了一种系统，所述系统具有：多个控制模块；计算机；和连接所述计算机和所述控制模块的有线通信网络；其中所述计算机被编程为：在接收到授权消息时，向相应的控制模块传输多个新的认证密钥，其中所述计算机存储有所述授权消息的到期时间；用相应的新的认证密钥到相应控制模块的传输的相应状态来更新列出控制模块的表，其中每个状态是成功或不成功中的一者；在至少一个状态为不成功时，阻止授权消息在到期时间到期；在阻止授权消息到期之后，向相应状态为不成功的每个控制模块重新传输相应的新的认证密钥；并且之后使该授权消息到期。
72.根据实施例，所述计算机还被编程为从远离所述有线通信网络的服务器接收所述授权消息。
73.根据实施例，所述计算机还被编程为在至少一个状态为不成功时向操作员输出错误通知。
74.根据实施例，所述错误通知识别所述相应状态为不成功的每个控制模块。
75.根据实施例，所述计算机还被编程为在重新传输之后更新相应的新的认证密钥重新传输到的每个控制模块的相应状态。
76.根据实施例，所述控制模块被编程为在接收到所述相应的新的认证密钥时，向所述计算机传输成功通知，并且所述计算机还被编程为基于在自将所述相应的新的认证密钥传输到所述相应控制模块的时间阈值内从所述控制模块接收到成功通知来确定每个状态是成功还是不成功。
77.根据实施例，所述计算机还被编程为除了在接收到所述授权消息与所述授权消息到期之间，阻止所述新的认证密钥的所述传输。
78.根据实施例，对于所述相应控制模块，所述表包括所述相应控制模块的相应网络地址、所述相应状态、和相应计数器，其中每个计数器指示所述相应控制模块已经接收到的不同的新的认证密钥的数量。
79.根据实施例，对于所述相应控制模块，所述表包括传输到所述相应控制模块的所述相应的新的认证密钥的相应密钥标识符。
80.根据实施例，每个控制模块被编程为在接收到所述相应的新的认证密钥时更新本地表，所述本地表包括由所述控制模块接收的所述相应的新的认证密钥的密钥标识符、所述控制模块的所述状态、和计数器，并且所述计数器指示所述控制模块已经接收到的不同的新的认证密钥的数量。
81.根据本发明，一种方法包括：在接收到授权消息时，向相应的多个控制模块传输多个新的认证密钥；用相应的新的认证密钥到相应控制模块的传输的相应状态来更新列出控制模块的表，其中每个状态是成功或不成功中的一者；在至少一个状态为不成功时，阻止授权消息在所述授权消息的到期时间到期；在阻止授权消息到期之后，向相应状态为不成功的每个控制模块重新传输相应的新的认证密钥；并且之后使该授权消息到期。