专利名称:数据处理设备的制作方法
技术领域:
本公开内容涉及用在车载远程信息通信系统(vehicle telematics system)或智能计量系统(smart metering system)中的数据处理设备,并涉及例如用于在公路定价中操作这种设备的方法。
背景技术:
图I以示意性形式说明与遥测技术相关的一般概念,其中用户实体I可以访问远程装置2,装置2包括主控制器3和本地数据库4。在这种一般情况中,用户或外部实体I能够经由双向通信链路5使用装置2,以将某些输入数据转换成输出数据。与遥测技术一祥,这种系统可以应用在其它情况中,如智能计量,包括能量使用的远程监控。这种情况中所关心的ー个问题是外部用户实体I如何可以确信装置I确实针对给定的输入产生了正确的输出。换句话说,问题是如何保护在该装置中运行的进程(process)的完整性(integrity),特别是防止篡改攻击。考虑到上述问题,存在可能遭受攻击者20篡改的三种不同的资源,如图2所述。这些攻击为I.企图修改I/O数据本身的攻击(箭头21),无论是提交(summit)给装置2之前的输入数据还是由装置2产生之后的输出数据6 ;2.企图修改在主控制器3上运行的进程的攻击(箭头22);以及3.企图修改在数据库4中本地存储的主数据(箭头23)。可以利用g在保护上文列出的资源的完整性的多种解决方法,其示例包括以下几种(I)对于I/O数据6,典型的解决的方案是使用签名算法,其中数据在输入处由用户实体I签名,并且在装置2的输出处由主进程3回签名(sign back),因此通过允许检测任何修改而保护数据6的完整性,已知为篡改证据。(2)使用可信任平台模块(TPM),安全加密处理器可以用来主要通过两种机制保护主进程远程证明和封闭存储。远程证明形成主进程状态的加密签名以向远程实体证明主控制器处于给定状态。封闭存储以它仅可以由处于正确状态时的主进程解密的方式加密数据。TPM主要用在个人计算机中,例如用于向远程支付服务器证明在将进行支付的计算机中不存在任何特洛伊木马、病毒、密钥记录器等。TPM还可以用于数字版权保护(DRM)应用。(3)'智能卡'的使用是另ー种已知的解决方案。安全智能卡包括嵌入塑料卡中的高度安全芯片。嵌入的芯片被设计为不易受任何篡改攻击,使得非常难以改变或探究芯片中存储的进程和数据。智能卡用于安全支付应用,其中金钱电子数值存储在卡中('电 子钱包'),或者用于安全访问控制应用,其中允许访问设备或网络的安全密钥存储在卡中(如,SIM卡),或者用于身份识别应用,其中签名密钥存储在卡中(如,电子护照)。TPM的缺点是这基本上是静态保护,仅证明控制器在某个时间处于某种核实状态,并且准备处理安全敏感数据。TPM不提供针对已经达到核实状态之后的攻击或硬件篡改攻击的防护。TPM方案还需要来自操作系统和主控制器的深度支持。另ー方面,智能卡提供动态保护,S卩,不仅保护进程的状态,而且保护这种状态如何随着时间的过去而发展,但由于需要特定的设计和制造エ艺而是不便利的。智能卡通常还具有非常有限的处理能力,并且因此不适合所有应用。本发明的目标是解决上述问题中的ー个或多个。WO 2009/090515公开了ー种道路收费系统,包括具有执行位置跟踪功能的卫星导航接收器的车载单元。车辆行进的路线基于位置跟踪信息和用于独立于卫星导航信号检测本地车辆状态的传感器。采用传感器信息证实位置跟踪信息有效
发明内容
根据本发明的第一方面,提供了ー种数据处理设备,如由随附权利要求所限定的那样。该设备可以形成车载远程信息通信系统的一部分,其中感测单元为位置感测单元,并且本地数据源包括地图数据源且可选地包括费用数据源,其中第一控制器被配置为控制和从位置感测单元和地图源(和可选地费用数据源)接收数据;基于从位置感测单元接收到的数据计算车辆的位置;以及可选地基于计算出的位置以及从费用数据源和地图数据源接收到的数据计算费用。感测单元可以为例如经由通信接ロ连接至第一控制器的外部装置。通过仅验证由控制器进行的操作的选定子集的完整性,该系统能够有效地和快速地运行,而不牺牲安全性。第二控制器可选地被提供为可移除卡,该可移除卡包括用于识别该系统的用户的数据。第二控制器被配置为随机地或伪随机地选择操作子集。在优选实施例中,第二控制器从由第一控制器进行的一系列位置和费用计算中随机地选出ー个用于验证,但对已经选定哪ー个操作进行保密。第二控制器可选地被配置为在位置计算操作和费用计算操作之一或二者期间验证由第一控制器进行的操作的选定子集的完整性。第一控制器被配置为记录从ー个或多个操作的开始和结束状态导出的历史数据并将历史数据传送至第二控制器。第二控制器被配置为采用所述历史数据验证所述ー个或多个操作。第二控制器可以被配置为存储仅用于将被验证的ー个选定操作的历史数据。第一控制器可以被配置为在进行每个操作时传送历史数据,并且第二控制器可以被配置为根据将被验证的那个操作的选择决定是存储还是舍弃所传送的历史数据。历史数据可以是从所述ー个或多个操作的开始和结束状态的哈希(hash)导出的。第二控制器可以被配置为在第一控制器已经发送由第一控制器进行的操作的哈希结果之后指示第一控制器传送哪些历史数据。该数据处理设备可以包含在计量系统中,其中感测单元为能量计,并且第一控制器被配置为基于从感测単元和本地数据源接收的数据产生能量定价。根据本发明的第二方面,提供了操作数据处理系统的方法,并且根据本发明的第三方面,提供了操作车载远程信息通信系统的方法,同样由随附权利要求限定。第二控制器可选地将签名的总数提供至第一控制器作为正确验证的指示。第二控制器随机地或伪随机地选择操作子集。通过随机地或伪随机地选择将被验证的特定操作子集,維持了安全性,因为不能确定由(非安全)第一控制器执行的哪个操作将是由(安全)第二控制器检查的操作。将不能提前确定哪个操作将进行验证。由于在典型的行程中将由第一控制器进行数百或数千 操作,第二控制器仅需要随机地选择小的比例,以确保所述实际意图的完整性,或者至少能够可靠地检测任何篡改。本发明提供了 TPM和智能卡二者解决方案的优势,但是以更加成本有效或灵活的方式提供这种优势。本发明通过不仅保护进程的状态而且保护该状态如何随时间更新而允许动态地保护在装置中运行的进程,并且可以应用于通用主控制器,而不需要对控制器进行硬件修改。本发明还仅需要添加如在智能卡中发现的便宜的安全控制器,并且因此具有针对每种特定应用不必需要特定智能卡的优点。
现在将以举例的方式并參照附图描述本发明的实施例,在附图中图I为说明遥测系统(telemetry system)的示意图;图2为说明对图I的系统的可能的攻击的示意图;图3a和3b为在主控制器和安全控制器中执行的示例性操作序列的示意图;图4为包括连接至主控制器的安全控制器的遥测系统的示意图;图5为说明将受到保护的主控制器板载软件的一部分的示意图;图6为具有审查过程步骤的遥测系统的示意图;图7为根据顺序模式运行的装置的示意图;图8为处于主控制器的RUN状态的操作序列的示意图;图9为处于安全控制器的VERIFY状态的操作序列的示意图;图10为根据并行模式运行的装置的示意图;图11为处于并行模式中的RUN状态和STORE状态的操作序列的示意图;图12为根据包含哈希操作的顺序模式运行的装置中的操作序列的示意图;图13a为说明简单的哈希方案的示意图;图13b为说明替代哈希方案的示意图;图14为安全控制器和主控制器中的包含哈希操作的操作序列的示意图;图15为根据包含哈希操作的并行模式运行的装置中的操作序列的示意图;图16为用于根据包含哈希操作的并行模式运行的装置的RUN状态和STORE状态的操作序列的示意图;图17为包含采用数据鉴别的数据完整性保护的遥测系统的示意图;图18为说明公路收费方案系统的示意图;以及图19为说明安全公路收费应用中涉及的操作序列的概略的示意图。
具体实施例方式本发明的多个方面依赖于两个主要原理,概述如下(I)对篡改的防护极大地依赖于篡改证据或检测,而不是依赖于整个进程的防篡改性。在一般方面中,这通过在装置中主控制器之后添加安全防篡改控制器,并由这个附加的安全控制器检验在主控制器中运行的进程还未被篡改的规则基础而实现。(2)为了降低附加安全控制器上的负担,该安全控制器不进行所有操作的完整验证,而是例如可以随机选择目标进程中正在进行的部分进行 验证。如图3a和3b所示,包括根据本发明运行的第一(主机)控制器31和第二(安全)控制器32的装置30可以被视为在三个不同阶段中运行(I)RUN阶段33,其中执行审查进程;(2) COMMIT阶段34,其中主控制器提交审查进程和中间步骤的结果;和(3) VERIFY阶段35,基于质询-响应协议,其中由安全控制器验证审查进程的选定部分,优选地作为安全控制器的随机选择結果。根据上述原理运行的系统在图4中说明,类似于图I的系统但添加了安全的、防篡改的控制器32。安全控制器32可以为在智能卡中发现的类型的控制器。如图5所示,主控制器31包含将被保护将由安全控制器32验证的软件51。在大多数情况中,不需要对整个主机软件进行验证,而是仅对特定的敏感部分进行验证。例如,低级别驱动器通常被忽略,而软件的处理金融业务的部分必须被认真地防护免受任何可能的篡改的影响。在大多数情况中,这将导致彼此独立的几个部分的识别,并且因此被独立地保护。随后足以将每个部分视为独立的进程,并单独地对每个进程进行验证过程。进行验证的进程在此称为审查进程。为了应用本发明,每个审查进程61可以分成几个审查步骤61I_N,如图6所示。随机选择这些步骤中的ー个或多个,用于由安全控制器验证。选定审查进程在中间步骤中分开的方式和这些步骤的数量取决于将被审查的进程的类型。ー种方式是以使得每个步骤仅松散地依赖于在前的步骤和接下来的步骤以及使得输入状态和输出状态的尺寸(szie)最小的方式裁剪进程。每个步骤理想地应当具有相同或相似的复杂性,使得安全控制器上的验证或多或少地花费相同的时间,从而在执行并行操作时提高效率。最后,将进程分成多个并且因此较小的步骤通常将降低验证单个步骤所需要的时间,并且还将降低在主控制器上执行进程期间检测到已经出现篡改的可能性。因此将进程分成中间步骤是性能和检测速率之间的折中。在接下来的部分中,以举例的方式说明不同的执行模式。在图7中说明的顺序模式示例中,三个阶段71,72,73顺序地运行中间COMMIT阶段72在RUN阶段71完成之后开始,VERIFY阶段73在COMMIT阶段72完成时开始。在图8中进ー步详细说明的RUN阶段71中,主控制器31简单地、正常地执行审查进程,但维持存储的进程执行历史日志82,审查进程的所有中间步骤71ぃ..71n的输入状态和输出状态81Q_N存储在进程执行历史日志82中。历史日志82允许在不必从开始重现整个进程的情况下重现每个步骤71ぃ..71n。在COMMIT阶段72期间,主控制器31开始(步骤74)对安全控制器32的审查进程。安全控制器32随后选择(步骤75)验证审查进程的哪个步骤,在此称为步骤ID。处于安全原因,重要的是步骤ID由安全控制器32保密且优选地被随机(或至少以非确定的方式)选择,以便不容易提前确定安全控制器32正在选择哪个步骤主控制器31随后提交审查进程的完整执行历史。这可以通过将历史日志82的全部内容(图8)发送(步骤76)至本地存储(步骤77)历史日志的安全控制器32而实现。这在历史日志82小的情况中可以是简单且有效的方案。对于较大的历史日志,可能优选的是采用下文进ー步详细描述的并行模式,可能是的采用一个或多个哈希操作。VERIFY阶段73 g在验证如由主控制器31执行的审查进程的完整性。一旦主控制器31开始审查进程(步骤78),则安全控制器32验证(步骤79)已经正确地执行COMMIT阶段72期间选择的审查步骤。安全控制器32可以在内部重现选定步骤,并通过对照历史日志82的相关部分检查结果而验证获得与由主控制器31发送的输出相同的输出。这在图9中示出,图9示出了简化的示例,其中安全控制器在将被审查的两个可能的步骤中的ー个之间进行选择。假设之前产生的步骤ID,验证操作79继续进行以采用来自历史日志82的相关输入状态审查选定的步骤,并针对相关的情况确定该结果是否与来自历史日志的对应的输出状态对应。在失败情况中,安全控制器32通知内部欺诈管理器(步骤91)。欺诈管理器的主要作用是维持所有验证失败的列表。系统优选被配置为使得总是将到达欺诈管理器的任何通知无论是立即地还是以规则或随机间隔以安全的方式转送至外部实体1(图4),使得外部实体随后可以采取适当的行动。例如,安全控制器32可以包含被编码为标志寄存器的安全状态。该标志寄存器的一位或多位可以用来对验证进程的状态进行编码。如果该寄存器总是被包括在由安全控制器产生的所有签名中,则总是向外部实体或服务器通知安全控制器的状态。在成功的情况中,安全控制器32将成功审查通知发送至主控制器31。成功审查通知可以通过签名的确认99发送至主控制器31。这种确认可以由主控制器用来向外部实体I证明已经成功地审查进程,并且外部实体随后可以信任该結果。存在多种方法用于计算这种确认。作为示例,安全控制器32可以对最后ー个安全步骤(如在VERIFY步骤79期间接收到的)的输出状态进行哈希操作,随后采用诸如AES (高级加密标准)之类的对称加密签名方案对该结果进行签名。成功的审查还可以导致准许对安全控制器上的要求较高的特权的某些服务或资源的临时访问,如对安全存储中的受限制的信息的访问,对支付应用或鉴别凭证的产生的访问。主控制器31随后可能需要被规则地审查,以维持受限制的服务/资源的可用性。在一些情况中,可能更容易验证给定的输入状态和输出状态非常好地满足已限定的前提和后置条件,而不是向上述示例中那样执行步骤本身。例如,如果进程计算数的平方根,则实际上更容易验证平方根结果确实等于输入,而不是进行平方根开方。图10和11 一起说明其中主控制器31和安全控制器32中的某些操作被并行执行的实施例。这通过同时运行RUN和COMMIT阶段101而改善了整体速度性能。在初始化审查进程(步骤74)之后,使安全控制器32选定步骤ID (步骤75),主控制器31将COMMIT数据发送至安全控制器同时仍然执行审查进程(步骤102),安全控制器32存储历史日志的所接收到的相关部分(步骤103),舍弃涉及非选定步骤ID的部分。其结果是,如果主控制器31装配有允许没有干预地将数据从主CPU发送至外部装置的DMA(直接存储器访问)子控制器或类似装置,则可以几乎没有系统开销地执行该部分验证进程。这样,可以几乎与未被审查的方案一祥快地运行审查进程。同样,通过并行运行,RUN阶段之后的系统开销延迟下降得相当多,因为任何延迟现在仅是由可以与已经描述的VERIFY阶段相同的后续VERIFY阶段73的执行引起。在图10中说明了上述并行模式实施例的变型。这类似于图7的顺序模式实施例,具有两个主要的差异。首先,主控制器31在执行审查进程紧之前在安全控制器32上初始化审查机制(步骤74),使安全控制器32随机地且秘密地选定步骤ID (步骤75)。其次,在审查进程的执行期间获得初始、中间和最终状态(步骤121)未被主控制器31记录,而是立即被发送至安全控制器32。如果主控制器31具有DMA控制器或类似装置,则可以与审查进程的执行并行地执行这种通信,因此对该进程的执行速度几乎没有影响。如果该状态是安全控制器选择验证的步骤的输入状态或输出状态,则安全控制器 32保持该数据。如果不是,则简单地舍弃该数据。然而,这必须以主控制器不能告知该数据是否已经被保持或舍弃的方式进行,以便主控制器31看不到步骤ID值。为了维持进程执行链的内聚性(cohesion),重要的是不将中间状态分成2个部分将包含之前的步骤的输出的部分,将包含下一个步骤的输入的另ー个部分。否则攻击者将在没有检测的情况下能够容易地改变任何步骤的输入。在该实施例中,象在上述图7的顺序模式实施例中一样执行验证进程。在该情况中唯一的差别是安全控制器不必选择哪个状态数据用于验证进程,因为这已经在COMMIT阶段期间完成。当审查进程中的中间状态的尺寸非常大时,出于性能原因,变得有利的是限制在主控制器和安全控制器之间传送的数据的量。一种解决方案包括修改COMMIT阶段以不发送完整的历史日志,而且仅发送安全控制器需要的2个状态。采用对整个历史日志的加密哈希实现提交部分。这种哈希允许主控制器提交整个历史日志,而不是实际上完整地发送它。这种解决方法可以应用顺序和并行模式实施例二者。在顺序模式实施例(图12)中,与图7的标准顺序模式实施例相比,仅改变COMMIT阶段。RUN和VERIFY阶段相同。在COMMIT阶段中,添加额外的交換,以便安全控制器32可以告知主控制器31正在验证哪个步骤。但是在传送选定步骤ID之前,主控制器31首先必须通过对内容进行哈希操作并将哈希结果发送至安全控制器32 (步骤122,123)而提交完整的执行历史。这样,如果出现安全控制器想要验证审查进程中在RUN阶段已经被入侵的(hacked)部分的情況,则被入侵的主控制器31件不可能改变历史日志内容。同样,计算该哈希,使得在未由安全控制器32检测到对应于不同步骤ID的输入状态和输出状态数据吋,主控制器31不能传送对应于不同步骤ID的输入状态和输出状态数据。可以使用在现有技术中描述的几种哈希方案。在下文描述并在图13a中说明了一种简单且仍然有效的哈希方案。这种简单的哈希方案包括単独地对每种状态(状态0...状态N)进行哈希操作,并将每种状态的哈希结果(HO... HN)发送至安全控制器。在这种方案中,如果审查进程由N个步骤组成,则N+1个哈希被发送至安全控制器。出于安全原因,彼此采诸如SHA-l、SHA-256等之类的强加密算法进算所述哈希。如果Hlm是哈希结果中的字节的大小,则采用这种简单的方案将(N+1) Hlm个字节发送至安全控制器32。例如,对于由10个中间步骤组成的审查进程,采用SHA-I哈希算法导致220个字节的系统开销。安全控制器存储对应于正在验证的步骤的输入状态和输出状态的哈希(图12 :步骤124),舍弃其它的哈希,并以选定步骤的步骤ID作为回应。总之,这必须以主控制器不能猜到选定步骤ID的值的方式进行。在接收到步骤ID (125)时,主控制器发送对应于选定步骤的输入状态和输出状态的数据(步骤126,127),选定步骤的输入状态和输出状态随后由安全控制器存储。最后,安全控制器验证接收到的数据的完整性(步骤128)。安全控制器对接收到的状态的数据进行哈希操作,将每个结果与之前由主控制器发送的对应的哈希结果进行比较(在步骤123中)。如果哈希验证失败,则通知内部欺诈管理器(如在上述图9中说明的 实施例的VERIFY阶段中描述的那样)。如果验证成功,则存储相关历史(步骤129),并且可以完全舍弃状态哈希。随后如之前一祥,继续执行VERIFY阶段。在上述哈希方案的替代哈希方案中,发送至安全控制器的哈希结果的数量可以减少至仅为3,与审查进程中的步骤的数量无关。在图13b和图14中说明了这种原理,图13b示出了产生全局哈希结果H的附加哈希步骤,图14示出了主控制器和安全控制器之间的通信操作的示例性顺序。在COMMIT阶段141中,主控制器在所有状态哈希(HO. . . HN)的联接形成的字节字符串上计算附加哈希H。在COMMIT阶段141开始时,主控制器将总哈希的值发送至安全控制器(步骤142),安全控制器以将被验证的步骤ID对此进行回应(步骤143)。主控制器通过发送对应于将被验证的步骤的输入状态和输出状态的中间哈希Hiih和Hid而完成COMMIT阶段(步骤144)。在VERIFY阶段145a,145b中,为了保护COMMIT阶段期间发送的中间哈希Hiih和Hid的完整性,安全控制器首先必须验证已经由主控制器正确地计算总哈希。然而,代替系统性地这么做(这将要求主控制器发送所有的中间哈希结果HO. . . HN),安全控制器将全局哈希H的计算视为审查进程的可以随机地验证的附加虚拟步骤。因此在验证阶段开始时,安全控制器随机地选择是否正常地进行选定步骤的验证(验证序列145b),或者是否验证全局哈希计算步骤的完整性(验证序列145a),并相应地通知主控制器。在第一种情况145b中,主控制器发送对应于选定步骤的输入状态和输出状态的数据(步骤146b),并且VERIFY阶段照常进行,主控制器返回相关状态(步骤147b)。在第二种情况145a中,安全控制器请求所有的哈希结果(步骤146a)且主控制器返回所有的中间哈希结果HO…HN(除了之前发送的Hiih和Hid),并且安全控制器验证主控制器发送的全局哈希是否正确。以与上文描述的方式类似的方式处理成功或失败。采用上述方案,不需要将所有状态哈希发送至状态控制器,从而在不明显地损害安全性的情况下明显地降低整体通信开销。在采用哈希操作的并行模式实施例中,主要差别是与审查进程的执行同时地进行哈希提交部分。之后仍然进行状态数据的实际传送。这在图15和16中说明。所涉及的操作类似于图12和13中说明的顺序哈希实施例的操作,在执行每个步骤的同时执行该步骤的哈希操作并将其传送至安全控制器。这种并行模式实施例的主要优点是不需要更复杂的哈希方案,因为哈希传送是与进程执行并行地进行的。然而,它要求安全控制器是能够由主控制器永久访问的。上述机制保护装置内运行的进程免受篡改攻击。这些进程既没有必要保护从外部实体I接收的或发送至外部实体I (图4)的数据的完整,也没有必要保护主数据的完整性。因此在ー些实施例中数据鉴别可能是必要的,以确保正确的进程已经应用于正确的数据。这么做的ー种方式是通过在装置30和外部实体I之间增加安全信道,并将本发明的应用扩展至管理这种安全信道的子进程。此外,主机中存储的任何数据库可以采用允许验证数据库中的数据是否已经被篡改的鉴别数据扩充(augment)。这在图17中说明。从装置30到外部实体I的传送信道171由对将发送至装置30的任何数据进行签名的外部实体保护,从装置30到外部实体I的传送信道172由对发送至外部实体I的任何数据进行签名的装置30保护。当使用数据鉴别时,发送至装置30中的安全控制器的所有输入数据或主数据由数据鉴别信息扩充,以允许安全控制器验证未由进程导出以进行验证的数据的完整性。
同样,当VERIFY阶段成功地完成吋,安全控制器对由主进程产生的数据进行签名,以便通知外部实体I主进程已经成功地由安全控制器审查。该实施例具有关于如何处理由外部实体I发送至装置30的输入数据的两种主要变型。在第一种变型中,总是由安全控制器验证输入数据的完整性。安全控制器因此通知主控制器输入数据是否已经被篡改。为了避免两次传送数据的需求,可以在进行这种完整性检查之前初始化审查进程,因为安全控制器可能已经存储了将由审查步骤使用的输入数据。在第二种变型中,验证数据步骤可以通过安全控制器进行随机验证。照常执行COMMIT阶段,并且无论何时VERIFY阶段需要从外部实体发送输入数据的全部或一部分,都一起发送输入鉴别数据。下述简单的计算示例希望说明如何应用本发明以保护包括诸如多个项的相加之类的简单计算链的进程。这可以看作是从GNSS信号导出位置所必需的计算步骤或从一系列记录位置导出费用的步骤的简化形式。考虑下述4个项的相加R = A+B+C+D根据本发明,外部实体I向装置30提供4个变量A、B、C和D的值,并预期该装置返回为这个4值的和的正确值R。为了保护这4个输入值和结果的完整性,外部实体和该装置内的安全控制器共用公共签名方案S。求和计算由主控制器在3个后续步骤中进行首先计算和Rab = A+B,随后计算和Rabc = Rab+C,取后计算结果 R = RABC+D。在接下来的示例中,应用并行模式,即其中主控制器在每个阶段将状态传送至安全控制器。外部实体首先对输入数据进行签名以保护它们的完整性,并将输入数据和签名发送至主控制器,如下表中所示。
权利要求
1.ー种数据处理设备(30),包括 本地数据源(4); 第一控制器(31);和 防篡改第二控制器(32),防篡改第二控制器被配置为与第一控制器(31)进行通信以及验证由第一控制器(31)进行的一系列操作的完整性, 第一控制器(31)被配置为控制并且从本地数据源(4)和经由通信接ロ连接至第一控制器的感测单元接收数据,以及对所述数据进行一系列计算操作, 其特征在于,第一控制器被配置为记录从该系列计算操作的开始和结束状态导出的历史数据并将历史数据传送至第二控制器,第二控制器(32)被配置为随机地或伪随机地选择和验证所述操作中的ー个,以采用所述历史数据验证该系列操作的完整性。
2.一种车载远程信息通信系统(180),包括权利要求I所述的数据处理设备,其中感测单元为位置感测单元,并且本地数据源包括地图数据源,第一控制器(31)被配置为基于从位置感测单元接收到的数据计算车辆的位置。
3.根据权利要求2所述的车载远程信息通信系统(180),其中本地数据源包括费用数据源,第一控制器被配置为基于计算出的位置和从费用数据源和地图数据源接收的数据计算费用。
4.根据权利要求2或3所述的系统,其中第二控制器被提供为可移除卡,可移除卡包括用于识别该车载远程信息通信系统的用户的数据。
5.根据前述权利要求中任一项所述的系统,其中第二控制器(32)被配置为随机地或伪随机地选择操作子集。
6.根据权利要求2-5中任一项所述的系统,其中第二控制器(32)被配置为在位置计算操作和费用计算操作之一或二者期间验证由第一控制器进行的操作的选定子集的完整性。
7.根据权利要求I所述的系统,其中第二控制器被配置为存储仅用于将被验证的ー个选定操作的历史数据。
8.根据权利要求I或7所述的系统,其中第一控制器被配置为在进行每个操作时传送历史数据,第二控制器被配置为根据将被验证的那个操作的选择决定是存储还是舍弃所传送的历史数据。
9.根据权利要求1、7和8中任一项所述的系统,其中历史数据是从该系列计算操作的开始和结束状态的哈希导出的。
10.根据权利要求9所述的系统,其中第二控制器被配置为在第一控制器已经发送由第一控制器进行的操作的哈希结果之后指示第一控制器传送哪些历史数据。
11.ー种计量系统,包括权利要求I所述的数据处理设备,其中感测单元为能量计,并且第一控制器被配置为基于从感测単元和本地数据源接收的数据产生能量定价。
12.—种操作权利要求I所述的数据处理系统的方法,该方法包括下述步骤 第一控制器从感测単元和本地数据源接收数据; 第一控制器基于接收到的数据进行一系列操作; 第一控制器记录从该系列计算操作的开始和结束状态导出的历史数据并将历史数据传送至第二控制器;以及 第二控制器随机地或伪随机地选择和验证由第一控制器进行的操作中的ー个,采用所述历史数据验证选定操作的完整性,以及提供正确或不正确验证的指示。
13.ー种操作根据权利要求2-10中任一项所述的车载远程信息通信系统的方法,该方法包括下述步骤 第一控制器从位置感测单元以及地图数据源和费用数据源接收数据(184); 第一控制器基于从位置感测单元接收到的数据计算车辆的位置; 第一控制器基于计算出的位置和从地图数据源和费用数据源接收到的数据计算费用; 第一控制器记录从一系列计算操作的开始和结束状态导出的历史数据并将历史数据传送至第二控制器;以及 第二控制器(32)随机地或伪随机地选择和验证该系列操作中的ー个,采用所述历史数据验证进行的操作的选定子集的完整性,以及提供正确或不正确验证的指示。
全文摘要
一种数据处理设备(30),包括本地数据源(4);第一控制器(31);和防篡改第二控制器(32),防篡改第二控制器被配置为与第一控制器进行通信,第一控制器被配置为控制并且从本地数据源和经由通信接口连接至第一控制器的感测单元接收数据,以及对所述数据进行一系列计算操作,其中第二控制器被配置为验证由第一控制器进行的操作的选定子集的完整性。
文档编号G07B15/02GK102656590SQ201080057000
公开日2012年9月5日 申请日期2010年12月14日 优先权日2009年12月16日
发明者克劳德·德巴, 迈克尔·M·P·皮特斯, 韦茨斯拉夫·尼科夫 申请人:Nxp股份有限公司