专利名称:一种防盗抢的车辆控制系统的制作方法
技术领域:
本实用新型涉及汽车防盗领域,尤其涉及一种防盗抢的车辆控制系统。
背景技术:
目前的车辆防盗装置可分为机械锁、电子防盗和远程监控等三类。机械锁使用广泛,但非法开锁的成本不断下降,目前已普通认为安全性不足,因此很少单独采用。电子防 盗正处于发展阶段,常用的方法是通过电子钥匙发送信息,车辆的防盗装置收到信息后与 预先设定的信息比对,然后根据比对结果解锁或锁定,现已出现一些模仿电子钥匙发送信 息的设备。远程监控是通过无线信号实现对车辆的远程监视和控制,但无线信号容易受到 屏蔽或模仿。现代车辆的机电控制系统越来越复杂,其中包括众多控制单元和测试仪器,各控 制单元通过总线连接成局域网。例如一辆汽车可包括中央、发动机、自动变速器、防抱死制 动系统(ABS)、防盗等控制单元。由于各控制单元间没有认证机制,维修服务单位可随意替 换或更改其中某些部件而不被察觉,而高明的窃贼做同样的事情则可把车辆盗走。
实用新型内容为了克服现有技术的缺点和不足,本实用新型的目的在于提供一种防盗抢的车辆 控制系统,利用密码学技术使车辆多个控制单元形成加密局域网,以确保车辆的安全。为实现其技术目的,本实用新型的技术方案为一种防盗抢的车辆控制系统,包括车辆总线、中央控制单元、发动机控制单元、自 动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元, 还包括用于传输加密信息的密文总线;用于车辆总线和密文总线通讯时加密明文或解密密文的明密文转换器;若干条用于启动车辆的车辆普通钥匙;一条设置有密码处理模块并存储车主私钥,在借出车辆、丢失车辆普通钥匙的情 况下进行车主数字签名,在保养、更改车辆关键参数的情况下解密K份额,以及启动车辆的 车辆主钥匙;所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通 信控制单元、参数存储单元和用户信息交换单元均设置有用于密码处理的密码处理模块;所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通 信控制单元、参数存储单元和用户信息交换单元分别与密文总线连接,所述密文总线通过 明密文转换器与车辆总线相连。为更好的实现本实用新型,所述中央控制单元、发动机控制单元、自动变速控制单 元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元是采用满足可信 计算规范的芯片,包括可信密码模块TCM或可信平台模块TPM。[0014]所述密码处理模块包括用于对密文总线上传输的信息和在参数存储单元中存储的信息进行加密、解密的 AES引擎;用于安全地生成密文总线上需要用到的各种密钥的密钥生成器,所述各种密钥具 体是指密文总线上的主密钥K、车钥随机密钥、随机密钥R、密文总线上各单元和车主的私 钥;用于为密钥生成器生成安全密钥及密文总线生成随机数的随机数发生器;用于密文总线上各个具有密码处理能力的单元的完整性认证、认证车辆管理角色 身份的合法性,并对各管理角色分割主密钥K的份额加密、解密的ECC引擎;用于通过把任意长的信息压缩成定长的消息摘要来生成HASH1、HASH2以及用于 数字签名的HASH引擎;所述HASHl是各个具有密码处理能力的单元的公钥组成的控制单元 公钥环的HASH值,所述HASH2是由车辆各个管理角色的公钥组成的管理公钥环的HASH值; 所述数字签名的一般方法用HASH引擎为要数字签名的信息生成消息摘要,然后用私钥对 消息摘要进行加密产生密文,该密文与原信息连接形成数字签名消息;用于管理和控制整个密码处理模块的执行引擎;用于存储主密钥K、本单元的私钥、HASHU HASH2、上次认证发起者、启动次数及上 次认证的非易失存储器,为了安全保存这些秘密信息,非易失存储器上应该有稳健的保护 机制;I/O总线;所述AES引擎、密钥生成器、随机数发生器、ECC引擎、HASH引擎、执行引 擎、非易失存储器分别与I/O总线相连。所述ECC引擎的等效8位乘法速度达到10,000, 000次/秒或以上。本实用新型的工作流程是(1)初始化中央控制单元生成主密钥K并向其它各个具有密码处理能力的单元发送初始化 请求和主密钥K,其它各个具有密码处理能力的单元向中央控制单元发送应答及本单元的 公钥,中央控制单元把各具有密码处理能力的单元的公钥存在参数存储单元的控制单元公 钥环中;中央控制单元生成车主公私钥对,把车主私钥导出到车辆主钥匙,收集车主、服务 商和车管部门的公钥并存放在参数存储单元的管理公钥环中;中央控制单元把主密钥K分 割后,分别用管理公钥环中的各个公钥加密后存储在参数存储单元中;中央控制单元分别 计算控制单元公钥环和管理公钥环的HASH值并分发给各具有密码处理能力的单元,各具 有密码处理能力的单元存储HASH值并设置上次认证发起者为中央控制单元、启动次数值 为0及上次认证为成功;中央控制单元接收用户和服务商协商的车辆参数并按约定存储在 参数存储单元中,同时中央控制单元生成随机密钥R和车钥随机密钥并存储在参数存储单 元中,把车钥随机密钥导出存放到车辆钥匙中,其中车辆钥匙是指车辆普通钥匙或车辆主 钥匙;(2)启动流程驾驶者用车辆钥匙接通电源,中央控制单元通过用户信息交换单元从车辆钥匙中 读取车钥随机密钥;中央控制单元从参数存储单元中读取随机密钥R并向本次的认证发起 单元发送启动请求并等待其应答及接收其新生成的随机密钥R ;认证发起单元判断车辆是否处于借出状态,若是处于借出状态则验证车主数字签名,车主数字签名不正常则启动紧急验证;如果车主数字签名正常或车辆不是处于借出状态,则认证发起单元判断上次认证 是否成功及是否需要进行远程认证,如果不正常则进行紧急验证,如果正常则生成新的随 机密钥R,然后向中央控制单元发送应答并用主密钥K对新的随机密钥R进行加密后发给加 密总线上的各个具有密码处理能力的单元;认证发起单元验证参数存储单元中的车钥随机 密钥与车辆钥匙中车钥随机密钥是否一致,一致则重新生成一个新的车钥随机密钥分别写 入参数存储单元和车辆钥匙中,不一致则请求车主数字签名,如果车主数字签名无效则启 动紧急验证;中央控制单元收到认证发起单元的应答和新的随机密钥R后,提示驾驶者可以启 动车辆;中央控制单元把新的随机密钥R存到参数存储单元中,并不断更新参数存储单元 中的行驶参数和远程认证后已行驶两个参数;密文总线上的其它各个具有密码处理能力的单元以中断方式接受认证发起单元 的挑战应答认证,若其它各个具有密码处理能力的单元认证成功则向认证发起单元发出应 答并修改本单元参数;否则启动紧急验证;(3)紧急验证中央控制单元识别产生紧急验证的原因,并验证驾驶者输入的紧急密码是否正 确,正确则启动紧急行驶并扣减紧急状态行驶参数,当紧急状态行驶参数中某项减到0时 需要接收车主和服务商的数字签名发出的重置指令而恢复紧急状态行驶参数,否则驾驶者 需把车辆送回服务维修点维修,修复后由车主和服务商一起通过恢复主密钥K来恢复紧急 状态行驶参数等数据。其中,所述初始化包括以下步骤(1. 1)中央控制单元生成主密钥K和自己的公私钥对,把主密钥K和私钥存放在自 己的非易失存储器中,并向其它各个具有密码处理能力的单元发送初始化请求和主密钥K, 中央控制单元等待接收其它各个具有密码处理能力的单元的应答和它们的公钥;(1. 2)其它各个具有密码处理能力的单元收到中央控制单元的初始化请求和主密 钥K后检查自己的非易失存储器是否已经存放了主密钥K及自己的私钥,如果存了,则拒 绝,否则其它各具有密码处理能力的单元生成本单元的公私钥对,把主密钥K和本单元的 私钥存在自己的非易失存储器中;其它各具有密码处理能力的单元向中央控制单元发送应 答及本单元的公钥,其它各具有密码处理能力的单元等待接收控制单元公钥环和管理公钥 环的HASH值;(1. 3)中央控制单元收齐其它各具有密码处理能力的单元的应答及公钥后,把其 它各具有密码处理能力的单元和本单元的公钥存在参数存储单元的控制单元公钥环中并 用主密钥K加密;(1. 4)中央控制单元生成车主的公私钥对,把车主的私钥从用户信息交换单元导 出到车辆的主钥匙后丢弃车主私钥,中央控制单元从用户信息交换单元导入服务商和车管 部门的公钥,再把车主、服务商和车管部门的公钥按顺序存放在参数存储单元的管理公钥 环中并用主密钥K加密;(1. 5)中央控制单元利用Shamir门限方案把K分割成三份,分别用车主、服务商和 车管部门的公钥加密后存放在参数存储单元中;[0039](1. 6)中央控制单元分别计算控制单元公钥环和管理公钥环的HASH值,并分发给其它各具有密码处理能力的单元;其中控制单元公钥环的HASH值记为HASH1、管理公钥环 的HASH值记为HASH2 ;(1. 7)各具有密码处理能力的单元把HASHl和HASH2、上次认证发起者、启动次数、 上次认证存到自己的非易失存储器中;其中上次认证发起者设为中央控制单元、启动次数 设值为0及上次认证设为成功;(1. 8)接着由用户和服务商协商设置保养参数、远程认证、借出限制和紧急状态行 驶参数,中央控制单元接收上述参数,把借出标志设成“否”,上次认证发起者设成中央控制 单元,行驶参数和远程认证后已行驶设为O并产生随机密钥R,这些信息均按约定存储在参 数存储单元中并用主密钥K加密,同时中央控制单元生成车钥随机密钥并分别存放到参数 存储单元、车辆普通钥匙和车辆主钥匙中,其中参数存储单元中的车钥随机密钥用随机密 钥R加密。所述启动过程包括以下步骤(2. 1)驾驶者用车辆普通钥匙或车辆主钥匙接通电源,中央控制单元通过用户信 息交换单元从车辆普通钥匙或车辆主钥匙中读取车钥随机密钥;(2. 2)中央控制单元从参数存储单元中读取随机密钥R并用主密钥K解密,接着从 参数存储单元中读取上次认证发起者,根据各具有密码处理能力单元的公钥在控制单元公 钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥所在的顺序位加1指向的 就是本次的认证发起单元的公钥,从而求出本次的认证发起单元,然后中央控制单元向本 次的认证发起单元发送启动请求并等待其应答及接收其新的随机密钥R ;(2. 3)认证发起单元从参数存储单元中读取借出标志,如果车辆处于借出状态,则 验证车主数字签名,读出借出参数并检查,随后检查上次认证,正常则进入下一步,否则启 动紧急验证;(2. 4)认证发起单元从参数存储单元中读取远程认证和远程认证后已行驶两个参 数并判断是否需要进行远程认证,如果需要则通过移动通信控制单元获取服务商的数字签 名信息,数字签名信息中包含服务商生成数字签名的日期时间,如果数字签名有效并且日 期时间合法则验证通过并把参数存储单元中的远程认证已行驶清0,否则启动紧急验证;(2. 5)认证发起单元从参数存储单元中读取保养参数、行驶参数以及从本单元非 易失存储器中读取的启动次数和上次认证等数据进行比较,正常则生成本次启动后新的随 机密钥R,然后向中央控制单元发送应答并用主密钥K对新的随机密钥R进行加密后发给密 文总线上的其它各个具有密码处理能力的单元;认证发起单元从参数存储单元中读取车钥 随机密钥,与通过用户信息交换单元从车辆普通钥匙或车辆主钥匙中读取的车钥随机密钥 比对,一致则重新生成一个新的车钥随机密钥分别写入参数存储单元、车辆普通钥匙、车辆 主钥匙中,不一致则请求进行车主数字签名,车主用车辆主钥匙进行车主数字签名,车主数 字签名有效则重新生成一个新的车钥随机密钥并分别写入参数存储单元、车辆普通钥匙、 车辆主钥匙中,否则启动紧急验证;(2. 6)中央控制单元收到认证发起单元的应答和新的随机密钥R后,提示驾驶者 可以启动车辆,接着密文总线上的其它各个具有密码处理能力的单元以中断方式分别接受 认证发起单元的挑战应答认证;随后在密文总线上传送的控制信息均用新的随机密钥R加密;中央控制单元把随机密钥R存到参数存储单元中,并不断更新参数存储单元中的行驶参数和远程认证已行驶;(2. 7)其它各个具有密码处理能力的单元把本单元中的启动次数加1,上次认证 设成失败;(2. 8)对照控制单元公钥环中的其它各个具有密码处理能力的单元,认证发起单 元生成一个随机数Rl并和启动次数一起,使用接受认证的其它各个具有密码处理能力的 单元的公钥加密形成挑战信息发给接受认证的单元;(2. 9)接受认证的具有密码处理能力的单元收到挑战信息后,用本单元的私钥解 密信息,比对本单元的启动次数和上次认证发起者,如启动次数一致、本单元的上次认证发 起者与认证发起单元的公钥在控制单元公钥环中差1个顺序位则正常,正常则本单元用 随机密钥R加密随机数Rl发回给认证发起单元作为应答并修改本单元的上次认证发起者 和上次认证,其中本单元的上次认证设为成功,上次认证发起者设置为本次认证发起单元 的ID号,否则启动紧急验证;其中每个单元出厂时都设有自身的ID号,作为各个单元的代 号;(2. 10)认证发起单元在收到密文总线上其它具有密码处理能力的单元的正常应 答信息后,修改本单元非易失存储器中的上次认证、本单元非易失存储器和车辆防盗系统 的参数存储单元中的上次认证发起者,其中本单元的上次认证设为成功,上次认证发起者 设为本次认证发起单元的ID号,否则启动紧急验证。所述紧急验证包括以下步骤(3. 1)中央控制单元识别产生紧急验证的原因,如果车辆还能紧急行驶,则进入步 骤(3. 2),否则需要拖车;(3. 2)驾驶者输入紧急密码,中央控制单元从参数存储单元中读取紧急状态行驶 参数并把其中的紧急密码与驾驶者输入的紧急密码比对,一致则启动紧急行驶并扣减紧急 状态行驶参数,紧急状态行驶参数中某项减到0时需要拖车;(3. 3)如仅为暂无移动通讯信号则在信号恢复后,通过移动通讯控制单元接收车 主和服务商的数字签名发出的重置指令而恢复紧急状态行驶参数,否则驾驶者把车辆开回 服务维修点维修,修复后由车主和服务商一起通过利用Shamir门限方案恢复主密钥K来恢 复紧急状态行驶参数等数据。所述保养参数具体是指车辆需送回服务维修点进行保养的限制值;当达到保养参 数规定的限制值时,车辆需送回服务维修点进行保养;所述保养流程包括以下步骤(4. 1)服务商提供常规的车辆保养;(4. 2)中央控制单元接收由车主和服务商共同协商的新的保养参数,中央控制单 元接收车主和服务商解密的K份额,利用Shamir门限方案恢复K并与本单元存储的K比对, 一致则更新保养参数。本实用新型的工作原理是利用多个具有密码处理能力的单元和密文总线形成一 个加密局域网。密文总线上的各具有密码处理能力的单元共享一个主密钥K,在密文总线上 传输的信息均经过AES算法加密,主密钥K采用Shamir门限方案分割后由多方保存,其中 任意两方协同可恢复主密钥K,密文总线上每个单元均秘密保存其自身的私钥,每次启动后均进行加密局域网完整性认证。与现有技术相比,本实用新型具有以下有益效果第一、防止别人非法开动车辆车辆钥匙中的车钥随机密钥与防盗系统中参数存储单元加密存储的车钥随机密钥比对正确后才可启动车辆,并且每次启动后均要替换双方 的车钥随机密钥。即使采用强迫车主数字签名借出车辆等手段成功开动车辆,其后续行驶 也受车辆管理角色即车主、车辆服务商和车辆管理部门中的两方通过移动通讯节制。如果 屏蔽了移动通讯,则车辆的行驶里程、启动次数、行驶时间均受到预先设置的远程认证的限 制。第二、防止别人非法更换车辆密文总线上的元件即使是服务商,除非成功更换密 文总路线上的所有具有密码处理能力的单元且所有新更换的单元均能正确协同控制车辆 各个部件,否则由于不能恢复密文总线的主密钥K而无法正常进行车辆的完整性认证。第三、限制外借车辆的行驶里程且车主可通过移动通讯增加该里程车辆借出及 其行驶的里程由车主设定并进行车主数字签名,车主设定的借出行驶里程不能超过初始化 时由车主和服务商共同确定的限制值,该限制值的修改必须由管理角色中的两方共同恢复 密文总线上的主密钥K方可进行。由于特殊原因而无法及时归还车辆,车主可以通过移动 通讯向车辆再发送车主数字签名的借出信息,则车辆可以继续行驶。第四、两方协同保养,提高用车安全车辆需要保养时会提示车主保养,并在车主 和服务商协同恢复密文总线的主密钥K后方可正确正常地保养车辆。第五、车辆的普通钥匙丢失的处理方法简单用车辆主钥匙进行车主数字签名启 动一次车辆即可使丢失的普通钥匙失效。第六、车辆管理角色单方丢失私钥对车辆安全性影响可控对于车辆的主钥匙丢 失,则通过服务商和车辆管理部门协作来更换车辆主钥匙;否则丢失的私钥所涉及的车辆 均更换管理角色的公钥即可。
图1为本实用新型一种防盗抢的车辆控制系统的示意图;图2为本实用新型用于密码处理的密码处理模块的结构示意图;图3为本实用新型一种防盗抢的车辆控制系统的启动流程图。
具体实施方式
下面结合实施例及附图,对本实用新型作进一步地详细说明,但本实用新型的实 施方式不限于此。—种防盗抢的车辆控制系统,如图1所示,包括车辆总线、中央控制单元、发动机 控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信 息交换单元,还包括用于传输加密信息的密文总线;用于车辆总线和密文总线通讯时加密明文或解密密文的明密文转换器;若干条用于启动车辆的车辆普通钥匙;一条设置有密码处理模块并存储车主私钥,在借出车辆、丢失车辆普通钥匙的情况下进行车主数字签名,在保养、更改车辆关键参数的情况下解密K份额,以及启动车辆的车辆主钥匙;所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通 信控制单元、参数存储单元和用户信息交换单元均设置有密码处理模块,具有密码处理能 力;所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通 信控制单元、参数存储单元和用户信息交换单元分别与密文总线连接,所述密文总线通过 明密文转换器与车辆总线相连。所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通 信控制单元、参数存储单元和用户信息交换单元是采用满足可信计算规范的芯片,包括可 信密码模块TCM或可信平台模块TPM。 所述移动通信单元通过蓝牙接口与外部进行通信。其中因为车辆主钥匙设置有密码处理模块并存储了车主的私钥,具有密码处理能 力,能和车辆防盗系统内的其它具有密码处理能力的单元协同认证成功,所以车辆主钥匙 中不存放车钥随机密钥也可以启动车辆,在车辆主钥匙中存放该随机密钥是为了加快用车 辆主钥匙下次启动车辆的速度。因此一般情况下用车辆普通钥匙启动车辆,车辆主钥匙是 在借出车辆、保养、丢失车辆普通钥匙等情况下使用。如图2所示,所述密码处理模块包括用于对密文总线上传输的信息和在参数存储单元中存储的信息进行加密、解密的 AES引擎;用于安全地生成密文总线上需要用到的各种密钥的密钥生成器,所述各种密钥具 体是指密文总线上的主密钥K、车钥随机密钥、随机密钥R、密文总线上各单元和车主的私 钥;用于为密钥生成器生成安全密钥及密文总线生成随机数的随机数发生器;用于密文总线上各个具有密码处理能力的单元的完整性认证、认证车辆管理角色 身份的合法性,并对各管理角色分割主密钥K的份额加密、解密的ECC引擎;用于通过把任意长的信息压缩成定长的消息摘要来生成HASH1、HASH2以及用于 数字签名的HASH引擎;所述HASHl是各个具有密码处理能力的单元的公钥组成的控制单元 公钥环的HASH值,所述HASH2是由车辆各个管理角色的公钥组成的管理公钥环的HASH值; 所述数字签名的一般方法用HASH引擎为要数字签名的信息生成消息摘要,然后用私钥对 消息摘要进行加密产生密文,该密文与原信息连接形成数字签名消息;用于管理和控制整个密码处理模块的执行引擎;用于存储主密钥K、本单元的私钥、HASHU HASH2、上次认证发起者、启动次数及上 次认证的非易失存储器,为了安全保存这些秘密信息而不外泄,非易失存储器上应该有稳 健的保护机制;I/O总线;所述AES引擎、密钥生成器、随机数发生器、ECC引擎、HASH引擎、执行引 擎、非易失存储器分别与I/O总线相连。所述ECC引擎的等效8位乘法速度达到10,000, 000次/秒或以上。为实现本实用新型的安全目标,购买车辆时需要对车辆初始化,其后通过启动流程、外借车辆、紧急验证、锁定车辆、保养流程、更换密文总线上的具有密码处理能力的单元等流程确保车辆安全,各流程如下所述初始化(1. 1)中央控制单元生成主密钥K和自己的公私钥对,把主密钥K和私钥存放在自 己的非易失存储器中,并向其它各个具有密码处理能力的单元(如发动机控制单元、自动 变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元)发 送初始化请求和主密钥K,中央控制单元等待接收其它各个具有密码处理能力的单元的应 答和它们的公钥;(1. 2)其它各个具有密码处理能力的单元收到中央控制单元的初始化请求和主密 钥K后检查自己的非易失存储器是否已经存放了主密钥K及自己的私钥,如果存了,则拒 绝,否则各其它具有密码处理能力的单元生成本单元的公私钥对,把主密钥K和本单元的 私钥存在自己的非易失存储器中;其它各具有密码处理能力的单元向中央控制单元发送应 答及本单元的公钥,其它各具有密码处理能力的单元等待接收控制单元公钥环和管理公钥 环的HASH值;(1. 3)中央控制单元收齐其它各具有密码处理能力的单元的应答及公钥后,把其 它各具有密码处理能力的单元和本单元的公钥存在参数存储单元的控制单元公钥环中并 用主密钥K加密;(1. 4)中央控制单元生成车主的公私钥对,把车主的私钥从用户信息交换单元导 出到车辆的主钥匙后丢弃车主私钥,中央控制单元从用户信息交换单元导入服务商和车管 部门的公钥,再把车主、服务商和车管部门的公钥按顺序存放在参数存储单元的管理公钥 环中并用主密钥K加密;(1. 5)中央控制单元利用Shamir门限方案把K分割成三份,分别用车主、服务商和 车管部门的公钥加密后存放在参数存储单元中;(车主、服务商和车管部门中任意两方用 各自的私钥解密后即可恢复K ;)(1. 6)中央控制单元分别计算控制单元公钥环和管理公钥环的HASH值,并分发给 其它各具有密码处理能力的单元;其中控制单元公钥环的HASH值记为HASHl和管理公钥环 的HASH值记为HASH2 ;(1. 7)各具有密码处理能力的单元把HASHl和HASH2、上次认证发起者、启动次数、 上次认证存到自己的非易失存储器中;其中上次认证发起者设为中央控制单元、启动次数 设值为0及上次认证设为成功;(1. 8)接着由用户和服务商协商设置保养参数(如10000公里/200天/1000次)、 远程认证(如500公里/3天/15次)、借出限制(如300公里/1天/8次)和紧急状态行 驶参数(如200公里/1天/8次及紧急密码),中央控制单元接收上述参数,把借出标志设 成“否”,上次认证发起者设成中央控制单元,行驶参数和远程认证后已行驶设为0并产生 随机密钥R,这些信息均按约定存储在参数存储单元中并用主密钥K加密,同时中央控制单 元生成车钥随机密钥并分别存放到参数存储单元、车辆普通钥匙和车辆主钥匙中,其中参 数存储单元中的车钥随机密钥用随机密钥R加密。初始化后,密码处理模块的非易失存储器中存储如下信息[ID]:本单元代号,出厂时设定;[0105][K]共享的主密钥;[ECC_Skey]本单元的 ECC 私钥;[HASH1](控制单元公钥环)各个具有密码处理能力单元的公钥组成的控制单元公钥环的HASH值,用于检测是否发生对控制单元公钥环的非法修改;[HASH2](管理公钥环)车辆防盗系统的管理角色(车主、服务商和车管部门)组 成的管理公钥环的HASH值,用于检测是否发生对管理公钥环的非法修改;[上次认证发起者]:记录上次发起认证的单元的ID号,根据各具有密码处理能力 单元的公钥在控制单元公钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥 所在的顺序位加1指向的就是本次的认证发起单元的公钥,从而求出本次认证发起单元, 轮流发起认证可以确保没有关键控制单元失效;[启动次数]启动次数计数器;[上次认证]指示本次认证的结果,认证前先设为“失败”,认证完成后再设置为 “成功”;这些内容应当只允许本单元中的代码读取,如果控制单元的代码存储区允许重写 但不允许外部读取,则这些值可以用AES加密后再存放,其加密密钥通过程序按某种规律 计算,其目的是增加对控制单元的物理攻击的困难程度,以防止非授权更换控制单元。在参数存储单元中存放了如下信息[各管理角色的K份额]把K用Shamir门限方案分割成三份后,用各管理角色的 公钥加密后的结果,两方用各自的私钥解密后可恢复K ;[借出标志]标示是否借出车辆;[借出参数]借出的起始/结束里程时间及启动次数等,设置或修改需使用车辆 主钥匙进行车主数字签名;(以下信息用主密钥K加密,加密算法可以是AES)[保养参数]车辆需返回服务单位进行保养的限制值,如10000公里/200天 /1000 次;[远程认证]每次远程认证后允许行驶的限制值,如500公里/5天/25次;[借出限制]如300公里/1天/8次;[紧急状态行驶参数]认证失败并正确输入紧急密码后的行驶限制值,可设成 200公里/1天/8次,目的是减少拖车次数,本域中包含紧急密码;[控制单元公钥环]各个具有密码处理能力的单元的ECC公钥;[管理公钥环]车辆各个管理角色的ECC公钥;[随机密钥R]每次启动后生成的随机密钥,作为对各个具有密码处理能力的单 元间传输的信息进行加密的密钥;(以下信息用随机密钥R加密,加密算法可以是AES算法)[上次认证发起者]记录上次认证发起单元的ID号,根据各具有密码处理能力单 元的公钥在控制单元公钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥所 在的顺序位加1指向的就是本次的认证发起单元的公钥,从而求出本次的认证发起单元, 轮流发起认证可以确保没有关键控制单元失效;[行驶参数]记录行驶的里程/天数/启动次数;[0128][远程认证后已行驶]远程认证后已行驶的里程/天数/启动次数;[车钥随机密钥]一个随机密钥,也存放在车辆普通钥匙和车辆主钥匙中,每次 启动后都用新的随机密钥替换。请参阅图3,其为本实用新型车辆控制系统的启动流程图,启动流程如下(2. 1)驾驶者用车辆普通钥匙或车辆主钥匙接通电源,中央控制单元通过用户信 息交换单元从车辆普通钥匙或车辆主钥匙中读取车钥随机密钥;(2. 2)中央控制单元从参数存储单元中读取随机密钥R并用主密钥K解密,接着从 参数存储单元中读取上次认证发起者,根据各具有密码处理能力单元的公钥在控制单元公 钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥所在的顺序位加1指向的 就是本次的认证发起单元的公钥,从而求出本次的认证发起单元,然后中央控制单元向本 次的认证发起单元发送启动请求并等待其应答及接收其新的随机密钥R ;(2. 3)认证发起单元从参数存储单元中读取借出标志,如果车辆处于借出状态,则 验证车主借出车辆的数字签名,读出借出参数并检查,随后检查上次认证,正常则进入下一 步,否则启动紧急验证;(2. 4)认证发起单元从参数存储单元中读取远程认证和远程认证后已行驶两个参 数并判断是否需要进行远程认证,如果需要则通过移动控制通信单元获取服务商的数字签 名信息,数字签名信息中包含服务商生成数字签名的日期时间,如果数字签名有效并且日 期时间合法则验证通过并把参数存储单元中的远程认证已行驶清0,否则启动紧急验证;(2. 5)认证发起单元从参数存储单元中读取保养参数、行驶参数以及从本单元非 易失存储器中存储的启动次数和上次认证等数据进行比较,正常且启动次数没有达到保养 参数中启动的限制值,则生成本次启动后新的随机密钥R,然后向中央控制单元发送应答并 用主密钥K对新的随机密钥R进行加密后发给密文总线上的其它各个具有密码处理能力的 单元;认证发起单元从参数存储单元中读取车钥随机密钥,与通过用户信息交换单元从车 辆普通钥匙或车辆主钥匙中读取的车钥随机密钥比对,一致则重新生成一个新的车钥随机 密钥分别写入参数存储单元、车辆普通钥匙、车辆主钥匙中,不一致则请求车主数字签名, 车主用车辆主钥匙进行车主数字签名,车主数字签名有效则重新生成一个新的车钥随机密 钥并分别写入参数存储单元、车辆普通钥匙、车辆主钥匙中,否则启动紧急验证;(2. 6)中央控制单元收到认证发起单元的应答和新的随机密钥R后,提示驾驶者 可以启动车辆,接着密文总线上的其它各个具有密码处理能力的单元以中断方式分别接受 认证发起单元的挑战应答认证;随后在密文总线上传送的控制信息均用新的随机密钥R加 密;中央控制单元把随机密钥R存到参数存储单元中,并不断更新参数存储单元中的行驶 参数和远程认证已行驶两个参数;(2. 7)其它各个具有密码处理能力的单元把本单元中的启动次数加1,上次认证 设成失败;(2. 8)对照控制单元公钥环中的各个具有密码处理能力的单元,认证发起单元生 成一个随机数Rl并和启动次数一起,使用接受认证的其它各个具有密码处理能力的单元 的公钥加密形成挑战信息发给接受认证的单元;(2. 9)接受认证的具有密码处理能力的单元收到挑战信息后,用本单元的私钥解 密信息,比对本单元的启动次数和上次认证发起者,如启动次数一致、本单元的上次认证发起者与认证发起单元的公钥在控制单元公钥环中差1个顺序位则正常,正常则本单元用随机密钥R加密随机数Rl发回给认证发起单元作为应答并修改本单元的上次认证发起者 和上次认证,其中本单元的上次认证设为成功,上次认证发起者设置为本次认证发起单元 的ID号,否则启动紧急验证;其中每个单元出厂时都设有自身的ID号,作为各个单元的代 号;(2. 10)认证发起单元在收到密文总线上其它具有密码处理能力的单元的正常应 答信息后,修改本单元非易失存储器的上次认证、本单元非易失存储器和系统的参数存储 单元中的上次认证发起者,其中本单元的上次认证设为成功,上次认证发起者设为本次认 证发起单元的ID号,否则启动紧急验证。外借车辆1、车主把存有车主私钥的车辆主钥匙插入密文总线的用户信息交换单元的I/O 接口 ;2、车主选择借出车辆功能并设定借出车辆的里程时间和启动次数限制值后,中央 控制单元把借出操作码、借出标志和借出参数发送给车辆主钥匙;3、车辆主钥匙识别借出操作码,利用车主的私钥对借出参数进行车主数字签名连 同借出标志送给中央控制单元;4、中央控制单元把车辆主钥匙送来的数据存入到参数存储单元的借出标志和借 出参数中。紧急验证(3. 1)中央控制单元识别产生紧急验证的原因,如果车辆还能紧急行驶,则进入步 骤(3. 2),否则需要拖车;(3. 2)驾驶者输入紧急密码,中央控制单元从参数存储单元中读取紧急状态行驶 参数并把其中的紧急密码与驾驶者输入的紧急密码比对,一致则启动紧急行驶并扣减紧急 状态行驶参数,紧急状态行驶参数中某项减到0时需要拖车;(3. 3)如仅为暂无移动通讯信号则在信号恢复后,通过移动通讯控制单元接收车 主和服务商的数字签名发出的重置指令而恢复紧急状态行驶参数,否则驾驶者把车辆开回 服务维修点维修,修复后由车主和服务商一起通过利用Shamir门限方案恢复主密钥K来恢 复紧急状态行驶参数等数据。锁定车辆1、车主通过电话口头申请锁定车辆,服务商禁止车辆远程认证;2、车主带上身份证明材料到服务商处,与服务商一起通过移动通讯向车辆防盗系 统的移动通信控制单元申请锁定车辆,如果车辆能进行移动通讯,则锁定成功,否则车辆行 驶的里程时间和启动次数受远程认证和远程认证后已行驶两个参数制约。保养流程1、服务商提供常规的车辆保养;2、中央控制单元接收由车主和服务商共同协商的新的保养参数,中央控制单元接 收车主和服务商解密的K份额,利用Shamir门限方案恢复K并与本单元存储的K比对,一 致则更新保养参数,车主和服务商也可协商修改其它参数。更换密文总线上的具有密码处理能力的单元[0157]1、更换故障芯片;2、车主与服务商协商共同恢复主密钥K并发送更换具有密码处理能力单元的指令,中央控制单元将恢复的K与本单元存储的K比较,一致则生成新的主密钥K并把新生成 的主密钥K、HASH2、上次认证发起者、启动次数和上次认证传送给新更换的单元,如更换的 是中央控制单元,则本步骤由发动机控制单元执行;3、新更换的控制单元接收上一步的数据并存在本单元的非易失存储器中,以及生 成本单元的公私钥对,秘密保存私钥,把公钥发送给中央控制单元;4、中央控制单元更新参数存储单元中的控制单元公钥环并用新的主密钥K加密 信息,将新的主密钥K和HASHl发给密文总线上的其它单元。5、密文总线上的其它单元接收并存储中央控制单元发来的新的主密钥K和 HASHl0上述实施例为本实用新型较佳的实施方式,但本实用新型的实施方式并不受所述 实施例的限制,其他的任何未背离本实用新型的精神实质与原理下所作的改变、修饰、替 代、组合、简化,均应为等效的置换方式,都包含在本实用新型的保护范围之内。
权利要求一种防盗抢的车辆控制系统,包括车辆总线、中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元,其特征在于还包括用于传输加密信息的密文总线;用于车辆总线和密文总线通讯时加密明文或解密密文的明密文转换器;若干条用于启动车辆的车辆普通钥匙;一条设置有密码处理模块并存储车主私钥,在借出车辆、丢失车辆普通钥匙的情况下进行车主数字签名,在保养、更改车辆关键参数的情况下解密K份额,以及启动车辆的车辆主钥匙;所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元均设置有用于密码处理的密码处理模块;所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元分别与密文总线连接,所述密文总线通过明密文转换器与车辆总线相连。
2.根据权利要求1所述的一种防盗抢的车辆控制系统,其特征在于所述中央控制单 元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元 和用户信息交换单元是采用满足可信计算规范的芯片,包括可信密码模块TCM或可信平台 模块TPM。
3.根据权利要求1所述的一种防盗抢的车辆控制系统,其特征在于所述密码处理模 块包括用于对密文总线上传输的信息和在参数存储单元中存储的信息进行加密、解密的AES 引擎;用于安全地生成密文总线上需要用到的各种密钥的密钥生成器,所述各种密钥具体是 指密文总线上的主密钥K、车钥随机密钥、随机密钥R、密文总线上各单元和车主的私钥; 用于为密钥生成器生成安全密钥及密文总线生成随机数的随机数发生器; 用于密文总线上各个具有密码处理能力的单元的完整性认证、认证车辆管理角色身份 的合法性,并对各管理角色分割主密钥K的份额加密、解密的ECC引擎;用于通过把任意长的信息压缩成定长的消息摘要来生成HASH1、HASH2以及用于数字 签名的HASH引擎;所述HASH1是各个具有密码处理能力的单元的公钥组成的控制单元公钥 环的HASH值,所述HASH2是由车辆各个管理角色的公钥组成的管理公钥环的HASH值; 用于管理和控制整个密码处理模块的执行引擎;用于存储主密钥(K)、本单元的私钥、HASH1、HASH2、上次认证发起者、启动次数及上次 认证的非易失存储器;I/O总线;所述AES引擎、密钥生成器、随机数发生器、ECC引擎、HASH引擎、执行引擎、 非易失存储器分别与I/O总线相连。
专利摘要本实用新型公开了一种防盗抢的车辆控制系统,包括均设置有密码处理模块的中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元、用户信息交换单元和车辆主钥匙,另外还包括明密文转换器、密文总线、车辆普通钥匙和车辆主钥匙;所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元分别与密文总线连接,所述密文总线通过明密文转换器与车辆总线相连。本实用新型有效提高了车辆的安全性,防止别人非法开动车辆、非法更换密文总线上的元件、且车辆的普通钥匙丢失的处理方法简单。
文档编号B60R25/00GK201559614SQ20092005665
公开日2010年8月25日 申请日期2009年5月15日 优先权日2009年5月15日
发明者唐韶华, 邹候文 申请人:华南理工大学