本发明公开了一种防盗抢的车辆控制系统,包括均设置有密码处理模块的中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元、用户信息交换单元和车辆主钥匙,另外还包括明密文转换器、密文总线、车辆普通钥匙和车辆主钥匙;本发明的另一目的是提供上述车辆控制系统的实现方法,其步骤包括(1)初始化;(2)启动流程;(3)紧急验证。本发明通过采用保密、认证和门限技术有效地提高了车辆的安全性,防止别人非法开动车辆、非法更换密文总线上的元件、且车辆的普通钥匙丢失的处理方法简单。
1.一种防盗抢的车辆控制系统,包括车辆总线、中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元,其特征在于:还包括用于传输加密信息的密文总线;
用于车辆总线和密文总线通讯时加密明文或解密密文的明密文转换器;
一条设置有密码处理模块并存储车主私钥,在借出车辆、丢失车辆普通钥匙的情况下进行车主数字签名,在保养、更改车辆关键参数的情况下解密车辆管理角色的K份额,以及启动车辆的车辆主钥匙;
上述车辆管理角色包括车主、车辆服务商和车辆管理部门;
所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元均设置有密码处理模块,具有密码处理能力;
所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元分别与密文总线连接,所述密文总线通过明密文转换器与车辆总线相连;
用于对密文总线上传输的信息和在参数存储单元中存储的信息进行加密、解密的AES引擎;
用于安全地生成密文总线上需要用到的各种密钥的密钥生成器,所述各种密钥具体是指密文总线上的主密钥K、车钥随机密钥、随机密钥R、密文总线上各单元和车主的私钥;
中央控制单元利用Shamir门限方案把主密钥K分割成三份,分别用车主、车辆服务商和车辆管理部门的公钥加密后存放在参数存储单元中。
2.根据权利要求1所述的一种防盗抢的车辆控制系统,其特征在于:所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元是采用满足可信计算规范的芯片,包括可信密码模块TCM或可信平台模块TPM。
3.根据权利要求1所述的一种防盗抢的车辆控制系统,其特征在于:所述密码处理模块还包括
用于为密钥生成器生成安全密钥及密文总线生成随机数的随机数发生器;
用于密文总线上各个具有密码处理能力的单元的完整性认证、认证车辆管理角色身份的合法性,并对各管理角色分割主密钥K的份额加密、解密的ECC引擎;
用于通过把任意长的信息压缩成定长的消息摘要来生成HASH1、HASH2以及用于数字签名的HASH引擎;所述HASH1是各个具有密码处理能力的单元的公钥组成的控制单元公钥环的HASH值,所述HASH2是由车辆各个管理角色的公钥组成的管理公钥环的HASH值;
用于存储主密钥K、本单元的私钥、HASH1、HASH2、上次认证发起者、启动次数及上次认证的非易失存储器;
I/O总线;所述AES引擎、密钥生成器、随机数发生器、ECC引擎、HASH引擎、执行引擎、非易失存储器分别与I/O总线相连。
4.根据权利要求3所述的一种防盗抢的车辆控制系统,其特征在于:所述ECC引擎的等效8位乘法速度达到10,000,000次/秒或以上。
5.根据权利要求1~4中任一项所述一种防盗抢的车辆控制系统的实现方法,其特征在于包括以下步骤:
中央控制单元生成主密钥K并向其它各个具有密码处理能力的单元发送初始化请求和主密钥K,其它各个具有密码处理能力的单元向中央控制单元发送应答及本单元的公钥,中央控制单元把各具有密码处理能力的单元的公钥存在参数存储单元的控制单元公钥环中;中央控制单元生成车主公私钥对,把车主私钥导出到车辆主钥匙,收集车主、服务商和车管部门的公钥并存放在参数存储单元的管理公钥环中;中央控制单元把主密钥K分割后,分别用管理公钥环中的各个公钥加密后存储在参数存储单元中;中央控制单元分别计算控制单元公钥环和管理公钥环的HASH值并分发给各具有密码处理能力的单元,各具有密码处理能力的单元存储HASH值并设置上次认证发起者为中央控制单元、启动次数值为
0及上次认证为成功;中央控制单元接收用户和服务商协商的车辆参数并按约定存储在参数存储单元中,同时中央控制单元生成随机密钥R和车钥随机密钥并存储在参数存储单元中,把车钥随机密钥导出存放到车辆钥匙中,其中车辆钥匙是指车辆普通钥匙或车辆主钥匙;
驾驶者用车辆钥匙接通电源,中央控制单元通过用户信息交换单元从车辆钥匙中读取车钥随机密钥;中央控制单元从参数存储单元中读取随机密钥R并向本次的认证发起单元发送启动请求并等待其应答及接收其新生成的随机密钥R;认证发起单元判断车辆是否处于借出状态,若是处于借出状态则验证车主数字签名,车主数字签名不正常则启动紧急验证;如果车主数字签名正常或车辆不是处于借出状态,则认证发起单元判断上次认证是否成功及是否需要进行远程认证,如果不正常则进行紧急验证,如果正常则生成新的随机密钥R,然后向中央控制单元发送应答并用主密钥K对新的随机密钥R进行加密后发给加密总线上的各个具有密码处理能力的单元;认证发起单元验证参数存储单元中的车钥随机密钥与车辆钥匙中车钥随机密钥是否一致,一致则重新生成一个新的车钥随机密钥分别写入参数存储单元和车辆钥匙中,不一致则请求车主数字签名,如果车主数字签名无效则启动紧急验证;
中央控制单元收到认证发起单元的应答和新的随机密钥R后,提示驾驶者可以启动车辆;中央控制单元把新的随机密钥R存到参数存储单元中,并不断更新参数存储单元中的行驶参数和远程认证以及远程认证后已行驶两个参数;
密文总线上的其它各个具有密码处理能力的单元以中断方式接受认证发起单元的挑战应答认证,若其它各个具有密码处理能力的单元认证成功则向认证发起单元发出应答并修改本单元参数;否则启动紧急验证;
中央控制单元识别产生紧急验证的原因,并验证驾驶者输入的紧急密码是否正确,正确则启动紧急行驶并扣减紧急状态行驶参数,当紧急状态行驶参数中某项减到0时需要接收车主和服务商的数字签名发出的重置指令而恢复紧急状态行驶参数,否则驾驶者需把车辆送回服务维修点维修,修复后由车主和服务商一起通过恢复主密钥K来恢复紧急状态行驶参数数据。
6.根据权利要求5所述一种防盗抢的车辆控制系统的实现方法,其特征在于:所述初始化包括以下步骤:
(1.1)中央控制单元生成主密钥K和自己的公私钥对,把主密钥K和私钥存放在自己的非易失存储器中,并向其它各个具有密码处理能力的单元发送初始化请求和主密钥K,中央控制单元等待接收其它各个具有密码处理能力的单元的应答和它们的公钥;
(1.2)其它各个具有密码处理能力的单元收到中央控制单元的初始化请求和主密钥K后检查自己的非易失存储器是否已经存放了主密钥K及自己的私钥,如果存了,则拒绝,否则其它各具有密码处理能力的单元生成本单元的公私钥对,把主密钥K和本单元的私钥存在自己的非易失存储器中;其它各具有密码处理能力的单元向中央控制单元发送应答及本单元的公钥,其它各具有密码处理能力的单元等待接收控制单元公钥环和管理公钥环的HASH值;
(1.3)中央控制单元收齐其它各具有密码处理能力的单元的应答及公钥后,把其它各具有密码处理能力的单元和本单元的公钥存在参数存储单元的控制单元公钥环中并用主密钥K加密;
(1.4)中央控制单元生成车主的公私钥对,把车主的私钥从用户信息交换单元导出到车辆的主钥匙后丢弃车主私钥,中央控制单元从用户信息交换单元导入服务商和车管部门的公钥,再把车主、服务商和车管部门的公钥按顺序存放在参数存储单元的管理公钥环中并用主密钥K加密;
(1.5)中央控制单元利用Shamir门限方案把K分割成三份,分别用车主、服务商和车管部门的公钥加密后存放在参数存储单元中;
(1.6)中央控制单元分别计算控制单元公钥环和管理公钥环的HASH值,并分发给其它各具有密码处理能力的单元;其中控制单元公钥环的HASH值记为HASH1、管理公钥环的HASH值记为HASH2;
(1.7)各具有密码处理能力的单元把HASH1和HASH2、上次认证发起者、启动次数、上次认证存到自己的非易失存储器中;其中上次认证发起者设为中央控制单元、启动次数设值为0及上次认证设为成功;
(1.8)接着由用户和服务商协商设置保养参数、远程认证、借出限制和紧急状态行驶参数,中央控制单元接收上述参数,把借出标志设成“否”,上次认证发起者设成中央控制单元,行驶参数和远程认证后已行驶设为0并产生随机密钥R,这些信息均按约定存储在参数存储单元中并用主密钥K加密,同时中央控制单元生成车钥随机密钥并分别存放到参数存储单元、车辆普通钥匙和车辆主钥匙中,其中参数存储单元中的车钥随机密钥用随机密钥R加密。
7.根据权利要求5所述一种防盗抢的车辆控制系统的实现方法,其特征在于:所述启动过程包括以下步骤:
(2.1)驾驶者用车辆普通钥匙或车辆主钥匙接通电源,中央控制单元通过用户信息交换单元从车辆普通钥匙或车辆主钥匙中读取车钥随机密钥;
(2.2)中央控制单元从参数存储单元中读取随机密钥R并用主密钥K解密,接着从参数存储单元中读取上次认证发起者,根据各具有密码处理能力单元的公钥在控制单元公钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥所在的顺序位加1指向的就是本次的认证发起单元的公钥,从而求出本次的认证发起单元,然后中央控制单元向本次的认证发起单元发送启动请求并等待其应答及接收其新的随机密钥R;
(2.3)认证发起单元从参数存储单元中读取借出标志,如果车辆处于借出状态,则验证车主数字签名,读出借出参数并检查,随后检查上次认证,正常则进入下一步,否则启动紧急验证;
(2.4)认证发起单元从参数存储单元中读取远程认证和远程认证后已行驶两个参数并判断是否需要进行远程认证,如果需要则通过移动通信控制单元获取服务商的数字签名信息,数字签名信息中包含服务商生成数字签名的日期时间,如果数字签名有效并且日期时间合法则验证通过并把参数存储单元中的远程认证已行驶清0,否则启动紧急验证;
(2.5)认证发起单元从参数存储单元中读取保养参数、行驶参数以及从本单元非易失存储器中读取的启动次数和上次认证等数据进行比较,正常则生成本次启动后新的随机密钥R,然后向中央控制单元发送应答并用主密钥K对新的随机密钥R进行加密后发给密文总线上的其它各个具有密码处理能力的单元;认证发起单元从参数存储单元中读取车钥随机密钥,与通过用户信息交换单元从车辆普通钥匙或车辆主钥匙中读取的车钥随机密钥比对,一致则重新生成一个新的车钥随机密钥分别写入参数存储单元、车辆普通钥匙、车辆主钥匙中,不一致则请求车主数字签名,车主用车辆主钥匙进行车主数字签名,车主数字签名有效则重新生成一个新的车钥随机密钥并分别写入参数存储单元、车辆普通钥匙、车辆主钥匙中,否则启动紧急验证;
(2.6)中央控制单元收到认证发起单元的应答和新的随机密钥R后,提示驾驶者可以启动车辆,接着密文总线上的其它各个具有密码处理能力的单元以中断方式分别接受认证发起单元的挑战应答认证;随后在密文总线上传送的控制信息均用新的随机密钥R加密;
中央控制单元把随机密钥R存到参数存储单元中,并不断更新参数存储单元中的行驶参数和远程认证已行驶两个参数;
(2.7)其它各个具有密码处理能力的单元把本单元中的启动次数加1,上次认证设成失败;
(2.8)对照控制单元公钥环中的其它各个具有密码处理能力的单元,认证发起单元生成一个随机数R1并和启动次数一起,使用接受认证的其它各个具有密码处理能力的单元的公钥加密形成挑战信息发给接受认证的单元;
(2.9)接受认证的具有密码处理能力的单元收到挑战信息后,用本单元的私钥解密信息,比对本单元的启动次数和上次认证发起者,如启动次数一致、本单元的上次认证发起者与认证发起单元的公钥在控制单元公钥环中差1个顺序位则正常,正常则本单元用随机密钥R加密随机数R1发回给认证发起单元作为应答并修改本单元的上次认证发起者和上次认证,其中本单元的上次认证设为成功,上次认证发起者设置为本次认证发起单元的ID号,否则启动紧急验证;其中每个单元出厂时都设有自身的ID号,作为各个单元的代号;
(2.10)认证发起单元在收到密文总线上其它具有密码处理能力的单元的正常应答信息后,修改本单元非易失存储器中的上次认证、本单元非易失存储器和车辆防盗系统的参数存储单元中的上次认证发起者,其中本单元的上次认证设为成功,上次认证发起者设为本次认证发起单元的ID号,否则启动紧急验证。
8.根据权利要求5所述一种防盗抢的车辆控制系统的实现方法,其特征在于:所述紧急验证包括以下步骤:
(3.1)中央控制单元识别产生紧急验证的原因,如果车辆还能紧急行驶,则进入步骤(3.2),否则需要拖车;
(3.2)驾驶者输入紧急密码,中央控制单元从参数存储单元中读取紧急状态行驶参数并把其中的紧急密码与驾驶者输入的紧急密码比对,一致则启动紧急行驶并扣减紧急状态行驶参数,紧急状态行驶参数中某项减到0时需要拖车;
(3.3)如仅为暂无移动通讯信号则在信号恢复后可通过移动通讯控制单元接收车主和服务商的数字签名发出的重置指令而恢复紧急状态行驶参数,否则驾驶者把车辆开回服务维修点维修,修复后由车主和服务商一起通过利用Shamir门限方案恢复主密钥K来恢复紧急状态行驶参数。
9.根据权利要求6或7所述一种防盗抢的车辆控制系统的实现方法,其特征在于:所述保养参数具体是指车辆需送回服务维修点进行保养的限制值;当达到保养参数规定的限制值时,车辆需送回服务维修点进行保养,保养后由车主和服务商两方协作设置新的保养参数。
一种防盗抢的车辆控制系统及其实现方法
技术领域
[0001] 本发明涉及汽车防盗领域,尤其涉及一种防盗抢的车辆控制系统及其实现方法。
背景技术
[0002] 目前的车辆防盗装置可分为机械锁、电子防盗和远程监控等三类。机械锁使用广泛,但非法开锁的成本不断下降,目前已普通认为安全性不足,因此很少单独采用。电子防盗正处于发展阶段,常用的方法是通过电子钥匙发送信息,车辆的防盗装置收到信息后与预先设定的信息比对,然后根据比对结果解锁或锁定,现已出现一些模仿电子钥匙发送信息的设备。远程监控是通过无线信号实现对车辆的远程监视和控制,但无线信号容易受到屏蔽或模仿。
[0003] 现代车辆的机电控制系统越来越复杂,其中包括众多控制单元和测试仪器,各控制单元通过总线连接成局域网。例如一辆汽车可包括中央、发动机、自动变速器、防抱死制动系统(ABS)、防盗等控制单元。由于各控制单元间没有认证机制,维修服务单位可随意替换或更改其中某些部件而不被察觉,而高明的窃贼做同样的事情则可把车辆盗走。
发明内容
[0004] 为了克服现有技术的缺点和不足,本发明的目的在于提供一种防盗抢的车辆控制系统,利用密码学技术使车辆多个控制单元形成加密局域网,以确保车辆的安全。
[0005] 为实现其技术目的,本发明的技术方案为:
[0006] 一种防盗抢的车辆控制系统,包括车辆总线、中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元,还包括
[0007] 用于传输加密信息的密文总线;
[0008] 用于车辆总线和密文总线通讯时加密明文或解密密文的明密文转换器;
[0009] 若干条用于启动车辆的车辆普通钥匙;
[0010] 一条设置有密码处理模块并存储车主私钥,在借出车辆、丢失车辆普通钥匙的情况下进行车主数字签名,在保养、更改车辆关键参数的情况下解密K份额,以及启动车辆的车辆主钥匙;
[0011] 所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元均设置有密码处理模块,具有密码处理能力;
[0012] 所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元分别与密文总线连接,所述密文总线通过明密文转换器与车辆总线相连。
[0013] 为更好的实现本发明,所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元是采用满足可信计算规范的芯片,包括可信密码模块TCM或可信平台模块TPM。
[0014] 所述密码处理模块包括
[0015] 用于对密文总线上传输的信息和在参数存储单元中存储的信息进行加密、解密的AES引擎;
[0016] 用于安全地生成密文总线上需要用到的各种密钥的密钥生成器,所述各种密钥具体是指密文总线上的主密钥K、车钥随机密钥、随机密钥R、密文总线上各单元和车主的私钥;
[0017] 用于为密钥生成器生成安全密钥及密文总线生成随机数的随机数发生器;
[0018] 用于密文总线上各个具有密码处理能力的单元的完整性认证、认证车辆管理角色身份的合法性,并对各管理角色分割主密钥K的份额加密、解密的ECC引擎;
[0019] 用于通过把任意长的信息压缩成定长的消息摘要来生成HASH1、HASH2以及用于数字签名的HASH引擎;所述HASH1是各个具有密码处理能力的单元的公钥组成的控制单元公钥环的HASH值,所述HASH2是由车辆各个管理角色的公钥组成的管理公钥环的HASH值;所述数字签名的一般方法:用HASH引擎为要数字签名的信息生成消息摘要,然后用私钥对消息摘要进行加密产生密文,该密文与原信息连接形成数字签名消息;
[0020] 用于管理和控制整个密码处理模块的执行引擎;
[0021] 用于存储主密钥K、本单元的私钥、HASH1、HASH2、上次认证发起者、启动次数及上次认证的非易失存储器,为了安全保存这些秘密信息,非易失存储器上应该有稳健的保护机制;
[0022] I/O总线;所述AES引擎、密钥生成器、随机数发生器、ECC引擎、HASH引擎、执行引擎、非易失存储器分别与I/O总线相连。
[0023] 所述ECC引擎的等效8位乘法速度达到10,000,000次/秒或以上。
[0024] 本发明的另一目的是提供一种防盗抢的车辆控制系统的实现方法。
[0025] 为解决上述技术问题,本发明的解决方案为:
[0026] (1)初始化:
[0027] 中央控制单元生成主密钥K并向其它各个具有密码处理能力的单元发送初始化请求和主密钥K,其它各个具有密码处理能力的单元向中央控制单元发送应答及本单元的公钥,中央控制单元把各具有密码处理能力的单元的公钥存在参数存储单元的控制单元公钥环中;中央控制单元生成车主公私钥对,把车主私钥导出到车辆主钥匙,收集车主、服务商和车管部门的公钥并存放在参数存储单元的管理公钥环中;中央控制单元把主密钥K分割后,分别用管理公钥环中的各个公钥加密后存储在参数存储单元中;中央控制单元分别计算控制单元公钥环和管理公钥环的HASH值并分发给各具有密码处理能力的单元,各具有密码处理能力的单元存储HASH值并设置上次认证发起者为中央控制单元、启动次数值为0及上次认证为成功;中央控制单元接收用户和服务商协商的车辆参数并按约定存储在参数存储单元中,同时中央控制单元生成随机密钥R和车钥随机密钥并存储在参数存储单元中,把车钥随机密钥导出存放到车辆钥匙中,其中车辆钥匙是指车辆普通钥匙或车辆主钥匙;
[0028] (2)启动流程:
[0029] 驾驶者用车辆钥匙接通电源,中央控制单元通过用户信息交换单元从车辆钥匙中读取车钥随机密钥;中央控制单元从参数存储单元中读取随机密钥R并向本次的认证发起单元发送启动请求并等待其应答及接收其新生成的随机密钥R;认证发起单元判断车辆是否处于借出状态,若是处于借出状态则验证车主数字签名,车主数字签名不正常则启动紧急验证;如果车主数字签名正常或车辆不是处于借出状态,则认证发起单元判断上次认证是否成功及是否需要进行远程认证,如果不正常则进行紧急验证,如果正常则生成新的随机密钥R,然后向中央控制单元发送应答并用主密钥K对新的随机密钥R进行加密后发给加密总线上的各个具有密码处理能力的单元;认证发起单元验证参数存储单元中的车钥随机密钥与车辆钥匙中车钥随机密钥是否一致,一致则重新生成一个新的车钥随机密钥分别写入参数存储单元和车辆钥匙中,不一致则请求车主数字签名,如果车主数字签名无效则启动紧急验证;
[0030] 中央控制单元收到认证发起单元的应答和新的随机密钥R后,提示驾驶者可以启动车辆;中央控制单元把新的随机密钥R存到参数存储单元中,并不断更新参数存储单元中的行驶参数和远程认证后已行驶两个参数;
[0031] 密文总线上的其它各个具有密码处理能力的单元以中断方式接受认证发起单元的挑战应答认证,若其它各个具有密码处理能力的单元认证成功则向认证发起单元发出应答并修改本单元参数;否则启动紧急验证;
[0032] (3)紧急验证:
[0033] 中央控制单元识别产生紧急验证的原因,并验证驾驶者输入的紧急密码是否正确,正确则启动紧急行驶并扣减紧急状态行驶参数,当紧急状态行驶参数中某项减到0时需要接收车主和服务商的数字签名发出的重置指令而恢复紧急状态行驶参数,否则驾驶者需把车辆送回服务维修点维修,修复后由车主和服务商一起通过恢复主密钥K来恢复紧急状态行驶参数等数据。
[0034] 为更好的实现本发明,所述初始化包括以下步骤:
[0035] (1.1)中央控制单元生成主密钥K和自己的公私钥对,把主密钥K和私钥存放在自己的非易失存储器中,并向其它各个具有密码处理能力的单元发送初始化请求和主密钥K,中央控制单元等待接收其它各个具有密码处理能力的单元的应答和它们的公钥;
[0036] (1.2)其它各个具有密码处理能力的单元收到中央控制单元的初始化请求和主密钥K后检查自己的非易失存储器是否已经存放了主密钥K及自己的私钥,如果存了,则拒绝,否则其它各具有密码处理能力的单元生成本单元的公私钥对,把主密钥K和本单元的私钥存在自己的非易失存储器中;其它各具有密码处理能力的单元向中央控制单元发送应答及本单元的公钥,其它各具有密码处理能力的单元等待接收控制单元公钥环和管理公钥环的HASH值;
[0037] (1.3)中央控制单元收齐其它各具有密码处理能力的单元的应答及公钥后,把其它各具有密码处理能力的单元和本单元的公钥存在参数存储单元的控制单元公钥环中并用主密钥K加密;
[0038] (1.4)中央控制单元生成车主的公私钥对,把车主的私钥从用户信息交换单元导出到车辆的主钥匙后丢弃车主私钥,中央控制单元从用户信息交换单元导入服务商和车管部门的公钥,再把车主、服务商和车管部门的公钥按顺序存放在参数存储单元的管理公钥环中并用主密钥K加密;
[0039] (1.5)中央控制单元利用Shamir门限方案把K分割成三份,分别用车主、服务商和车管部门的公钥加密后存放在参数存储单元中;
[0040] (1.6)中央控制单元分别计算控制单元公钥环和管理公钥环的HASH值,并分发给其它各具有密码处理能力的单元;其中控制单元公钥环的HASH值记为HASH1、管理公钥环的HASH值记为HASH2;
[0041] (1.7)各具有密码处理能力的单元把HASH1和HASH2、上次认证发起者、启动次数、上次认证存到自己的非易失存储器中;其中上次认证发起者设为中央控制单元、启动次数设值为0及上次认证设为成功;
[0042] (1.8)接着由用户和服务商协商设置保养参数、远程认证、借出限制和紧急状态行驶参数,中央控制单元接收上述参数,把借出标志设成“否”,上次认证发起者设成中央控制单元,行驶参数和远程认证后已行驶设为0并产生随机密钥R,这些信息均按约定存储在参数存储单元中并用主密钥K加密,同时中央控制单元生成车钥随机密钥并分别存放到参数存储单元、车辆普通钥匙和车辆主钥匙中,其中参数存储单元中的车钥随机密钥用随机密钥R加密。
[0043] 所述启动过程包括以下步骤:
[0044] (2.1)驾驶者用车辆普通钥匙或车辆主钥匙接通电源,中央控制单元通过用户信息交换单元从车辆普通钥匙或车辆主钥匙中读取车钥随机密钥;
[0045] (2.2)中央控制单元从参数存储单元中读取随机密钥R并用主密钥K解密,接着从参数存储单元中读取上次认证发起者,根据各具有密码处理能力单元的公钥在控制单元公钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥所在的顺序位加1指向的就是本次的认证发起单元的公钥,从而求出本次的认证发起单元,然后中央控制单元向本次的认证发起单元发送启动请求并等待其应答及接收其新的随机密钥R;
[0046] (2.3)认证发起单元从参数存储单元中读取借出标志,如果车辆处于借出状态,则验证车主数字签名,读出借出参数并检查,随后检查上次认证,正常则进入下一步,否则启动紧急验证;
[0047] (2.4)认证发起单元从参数存储单元中读取远程认证和远程认证后已行驶两个参数并判断是否需要进行远程认证,如果需要则通过移动通信控制单元获取服务商的数字签名信息,数字签名信息中包含服务商生成数字签名的日期时间,如果数字签名有效并且日期时间合法则验证通过并把参数存储单元中的远程认证已行驶清0,否则启动紧急验证;
[0048] (2.5)认证发起单元从参数存储单元中读取保养参数、行驶参数以及从本单元非易失存储器中读取的启动次数和上次认证等数据进行比较,正常则生成本次启动后新的随机密钥R,然后向中央控制单元发送应答并用主密钥K对新的随机密钥R进行加密后发给密文总线上的其它各个具有密码处理能力的单元;认证发起单元从参数存储单元中读取车钥随机密钥,与通过用户信息交换单元从车辆普通钥匙或车辆主钥匙中读取的车钥随机密钥比对,一致则重新生成一个新的车钥随机密钥分别写入参数存储单元、车辆普通钥匙、车辆主钥匙中,不一致则请求进行车主数字签名,车主用车辆主钥匙进行车主数字签名,车主数字签名有效则重新生成一个新的车钥随机密钥并分别写入参数存储单元、车辆普通钥匙、车辆主钥匙中,否则启动紧急验证;
[0049] (2.6)中央控制单元收到认证发起单元的应答和新的随机密钥R后,提示驾驶者可以启动车辆,接着密文总线上的其它各个具有密码处理能力的单元以中断方式分别接受认证发起单元的挑战应答认证;随后在密文总线上传送的控制信息均用新的随机密钥R加密;中央控制单元把随机密钥R存到参数存储单元中,并不断更新参数存储单元中的行驶参数和远程认证已行驶;
[0050] (2.7)其它各个具有密码处理能力的单元把本单元中的启动次数加1,上次认证设成失败;
[0051] (2.8)对照控制单元公钥环中的其它各个具有密码处理能力的单元,认证发起单元生成一个随机数R1并和启动次数一起,使用接受认证的其它各个具有密码处理能力的单元的公钥加密形成挑战信息发给接受认证的单元;
[0052] (2.9)接受认证的具有密码处理能力的单元收到挑战信息后,用本单元的私钥解密信息,比对本单元的启动次数和上次认证发起者,如启动次数一致、本单元的上次认证发起者与认证发起单元的公钥在控制单元公钥环中差1个顺序位则正常,正常则本单元用随机密钥R加密随机数R1发回给认证发起单元作为应答并修改本单元的上次认证发起者和上次认证,其中本单元的上次认证设为成功,上次认证发起者设置为本次认证发起单元的ID号,否则启动紧急验证;其中每个单元出厂时都设有自身的ID号,作为各个单元的代号;
[0053] (2.10)认证发起单元在收到密文总线上其它具有密码处理能力的单元的正常应答信息后,修改本单元非易失存储器中的上次认证、本单元非易失存储器和车辆防盗系统的参数存储单元中的上次认证发起者,其中本单元的上次认证设为成功,上次认证发起者设为本次认证发起单元的ID号,否则启动紧急验证。
[0054] 所述紧急验证包括以下步骤:
[0055] (3.1)中央控制单元识别产生紧急验证的原因,如果车辆还能紧急行驶,则进入步骤(3.2),否则需要拖车;
[0056] (3.2)驾驶者输入紧急密码,中央控制单元从参数存储单元中读取紧急状态行驶参数并把其中的紧急密码与驾驶者输入的紧急密码比对,一致则启动紧急行驶并扣减紧急状态行驶参数,紧急状态行驶参数中某项减到0时需要拖车;
[0057] (3.3)如仅为暂无移动通讯信号则在信号恢复后,通过移动通讯控制单元接收车主和服务商的数字签名发出的重置指令而恢复紧急状态行驶参数,否则驾驶者把车辆开回服务维修点维修,修复后由车主和服务商一起通过利用Shamir门限方案恢复主密钥K来恢复紧急状态行驶参数等数据。
[0058] 所述保养参数具体是指车辆需送回服务维修点进行保养的限制值;当达到保养参数规定的限制值时,车辆需送回服务维修点进行保养;
[0059] 所述保养流程包括以下步骤:
[0060] (4.1)服务商提供常规的车辆保养;
[0061] (4.2)中央控制单元接收由车主和服务商共同协商的新的保养参数,中央控制单元接收车主和服务商解密的K份额,利用Shamir门限方案恢复K并与本单元存储的K比对,一致则更新保养参数。
[0062] 本发明的工作原理是利用多个具有密码处理能力的单元和密文总线形成一个加密局域网。密文总线上的各具有密码处理能力的单元共享一个主密钥K,在密文总线上传输的信息均经过AES算法加密,主密钥K采用Shamir门限方案分割后由多方保存,其中任意两方协同可恢复主密钥K,密文总线上每个单元均秘密保存其自身的私钥,每次启动后均进行加密局域网完整性认证。
[0063] 与现有技术相比,本发明具有以下有益效果:
[0064] 第一、防止别人非法开动车辆:车辆钥匙中的车钥随机密钥与防盗系统中参数存储单元加密存储的车钥随机密钥比对正确后才可启动车辆,并且每次启动后均要替换双方的车钥随机密钥。即使采用强迫车主数字签名借出车辆等手段成功开动车辆,其后续行驶也受车辆管理角色即车主、车辆服务商和车辆管理部门中的两方通过移动通讯节制。如果屏蔽了移动通讯,则车辆的行驶里程、启动次数、行驶时间均受到预先设置的远程认证的限制。
[0065] 第二、防止别人非法更换车辆密文总线上的元件:即使是服务商,除非成功更换密文总路线上的所有具有密码处理能力的单元且所有新更换的单元均能正确协同控制车辆各个部件,否则由于不能恢复密文总线的主密钥K而无法正常进行车辆的完整性认证。
[0066] 第三、限制外借车辆的行驶里程且车主可通过移动通讯增加该里程:车辆借出及其行驶的里程由车主设定并进行车主数字签名,车主设定的借出行驶里程不能超过初始化时由车主和服务商共同确定的限制值,该限制值的修改必须由管理角色中的两方共同恢复密文总线上的主密钥K方可进行。由于特殊原因而无法及时归还车辆,车主可以通过移动通讯向车辆再发送车主数字签名的借出信息,则车辆可以继续行驶。
[0067] 第四、两方协同保养,提高用车安全:车辆需要保养时会提示车主保养,并在车主和服务商协同恢复密文总线的主密钥K后方可正确正常地保养车辆。
[0068] 第五、车辆的普通钥匙丢失的处理方法简单:用车辆主钥匙进行车主数字签名启动一次车辆即可使丢失的普通钥匙失效。
[0069] 第六、车辆管理角色单方丢失私钥对车辆安全性影响可控:对于车辆的主钥匙丢失,则通过服务商和车辆管理部门协作来更换车辆主钥匙;否则丢失的私钥所涉及的车辆均更换管理角色的公钥即可。
附图说明
[0070] 图1为本发明一种防盗抢的车辆控制系统的示意图;
[0071] 图2为本发明用于密码处理的密码处理模块的结构示意图;
[0072] 图3为本发明一种防盗抢的车辆控制系统的启动流程图。
具体实施方式
[0073] 下面结合实施例及附图,对本发明作进一步地详细说明,但本发明的实施方式不限于此。
[0074] 一种防盗抢的车辆控制系统,如图1所示,包括车辆总线、中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元,还包括
[0075] 用于传输加密信息的密文总线;
[0076] 用于车辆总线和密文总线通讯时加密明文或解密密文的明密文转换器;
[0077] 若干条用于启动车辆的车辆普通钥匙;
[0078] 一条设置有密码处理模块并存储车主私钥,在借出车辆、丢失车辆普通钥匙的情况下进行车主数字签名,在保养、更改车辆关键参数的情况下解密K份额,以及启动车辆的车辆主钥匙;
[0079] 所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元均设置有密码处理模块,具有密码处理能力;
[0080] 所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元分别与密文总线连接,所述密文总线通过明密文转换器与车辆总线相连。
[0081] 所述中央控制单元、发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元是采用满足可信计算规范的芯片,包括可信密码模块TCM或可信平台模块TPM。
[0082] 所述移动通信单元通过蓝牙接口与外部进行通信。
[0083] 其中因为车辆主钥匙设置有密码处理模块并存储了车主的私钥,具有密码处理能力,能和车辆防盗系统内的其它具有密码处理能力的单元协同认证成功,所以车辆主钥匙中不存放车钥随机密钥也可以启动车辆,在车辆主钥匙中存放该随机密钥是为了加快用车辆主钥匙下次启动车辆的速度。因此一般情况下用车辆普通钥匙启动车辆,车辆主钥匙是在借出车辆、保养、丢失车辆普通钥匙等情况下使用。
[0084] 如图2所示,所述密码处理模块包括
[0085] 用于对密文总线上传输的信息和在参数存储单元中存储的信息进行加密、解密的AES引擎;
[0086] 用于安全地生成密文总线上需要用到的各种密钥的密钥生成器,所述各种密钥具体是指密文总线上的主密钥K、车钥随机密钥、随机密钥R、密文总线上各单元和车主的私钥;
[0087] 用于为密钥生成器生成安全密钥及密文总线生成随机数的随机数发生器;
[0088] 用于密文总线上各个具有密码处理能力的单元的完整性认证、认证车辆管理角色身份的合法性,并对各管理角色分割主密钥K的份额加密、解密的ECC引擎;
[0089] 用于通过把任意长的信息压缩成定长的消息摘要来生成HASH1、HASH2以及用于数字签名的HASH引擎;所述HASH1是各个具有密码处理能力的单元的公钥组成的控制单元公钥环的HASH值,所述HASH2是由车辆各个管理角色的公钥组成的管理公钥环的HASH值;所述数字签名的一般方法:用HASH引擎为要数字签名的信息生成消息摘要,然后用私钥对消息摘要进行加密产生密文,该密文与原信息连接形成数字签名消息;
[0090] 用于管理和控制整个密码处理模块的执行引擎;
[0091] 用于存储主密钥K、本单元的私钥、HASH1、HASH2、上次认证发起者、启动次数及上次认证的非易失存储器,为了安全保存这些秘密信息而不外泄,非易失存储器上应该有稳健的保护机制;
[0092] I/O总线;所述AES引擎、密钥生成器、随机数发生器、ECC引擎、HASH引擎、执行引擎、非易失存储器分别与I/O总线相连。
[0093] 所述ECC引擎的等效8位乘法速度达到10,000,000次/秒或以上。
[0094] 为实现本发明的安全目标,购买车辆时需要对车辆初始化,其后通过启动流程、外借车辆、紧急验证、锁定车辆、保养流程、更换密文总线上的具有密码处理能力的单元等流程确保车辆安全,各流程如下所述:
[0095] 初始化:
[0096] (1.1)中央控制单元生成主密钥K和自己的公私钥对,把主密钥K和私钥存放在自己的非易失存储器中,并向其它各个具有密码处理能力的单元(如发动机控制单元、自动变速控制单元、制动控制单元、移动通信控制单元、参数存储单元和用户信息交换单元)发送初始化请求和主密钥K,中央控制单元等待接收其它各个具有密码处理能力的单元的应答和它们的公钥;
[0097] (1.2)其它各个具有密码处理能力的单元收到中央控制单元的初始化请求和主密钥K后检查自己的非易失存储器是否已经存放了主密钥K及自己的私钥,如果存了,则拒绝,否则各其它具有密码处理能力的单元生成本单元的公私钥对,把主密钥K和本单元的私钥存在自己的非易失存储器中;其它各具有密码处理能力的单元向中央控制单元发送应答及本单元的公钥,其它各具有密码处理能力的单元等待接收控制单元公钥环和管理公钥环的HASH值;
[0098] (1.3)中央控制单元收齐其它各具有密码处理能力的单元的应答及公钥后,把其它各具有密码处理能力的单元和本单元的公钥存在参数存储单元的控制单元公钥环中并用主密钥K加密;
[0099] (1.4)中央控制单元生成车主的公私钥对,把车主的私钥从用户信息交换单元导出到车辆的主钥匙后丢弃车主私钥,中央控制单元从用户信息交换单元导入服务商和车管部门的公钥,再把车主、服务商和车管部门的公钥按顺序存放在参数存储单元的管理公钥环中并用主密钥K加密;
[0100] (1.5)中央控制单元利用Shamir门限方案把K分割成三份,分别用车主、服务商和车管部门的公钥加密后存放在参数存储单元中;(车主、服务商和车管部门中任意两方用各自的私钥解密后即可恢复K;)
[0101] (1.6)中央控制单元分别计算控制单元公钥环和管理公钥环的HASH值,并分发给其它各具有密码处理能力的单元;其中控制单元公钥环的HASH值记为HASH1和管理公钥环的HASH值记为HASH2;
[0102] (1.7)各具有密码处理能力的单元把HASH1和HASH2、上次认证发起者、启动次数、上次认证存到自己的非易失存储器中;其中上次认证发起者设为中央控制单元、启动次数设值为0及上次认证设为成功;
[0103] (1.8)接着由用户和服务商协商设置保养参数(如10000公里/200天/1000次)、远程认证(如500公里/3天/15次)、借出限制(如300公里/1天/8次)和紧急状态行驶参数(如200公里/1天/8次及紧急密码),中央控制单元接收上述参数,把借出标志设成“否”,上次认证发起者设成中央控制单元,行驶参数和远程认证后已行驶设为0并产生随机密钥R,这些信息均按约定存储在参数存储单元中并用主密钥K加密,同时中央控制单元生成车钥随机密钥并分别存放到参数存储单元、车辆普通钥匙和车辆主钥匙中,其中参数存储单元中的车钥随机密钥用随机密钥R加密。
[0104] 初始化后,密码处理模块的非易失存储器中存储如下信息:
[0105] [ID]:本单元代号,出厂时设定;
[0106] [K]:共享的主密钥;
[0107] [ECC_Skey]:本单元的ECC私钥;
[0108] [HASH1](控制单元公钥环):各个具有密码处理能力单元的公钥组成的控制单元公钥环的HASH值,用于检测是否发生对控制单元公钥环的非法修改;
[0109] [HASH2](管理公钥环):车辆防盗系统的管理角色(车主、服务商和车管部门)组成的管理公钥环的HASH值,用于检测是否发生对管理公钥环的非法修改;
[0110] [上次认证发起者]:记录上次发起认证的单元的ID号,根据各具有密码处理能力单元的公钥在控制单元公钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥所在的顺序位加1指向的就是本次的认证发起单元的公钥,从而求出本次认证发起单元,轮流发起认证可以确保没有关键控制单元失效;
[0111] [启动次数]:启动次数计数器;
[0112] [上次认证]:指示本次认证的结果,认证前先设为“失败”,认证完成后再设置为“成功”;
[0113] 这些内容应当只允许本单元中的代码读取,如果控制单元的代码存储区允许重写但不允许外部读取,则这些值可以用AES加密后再存放,其加密密钥通过程序按某种规律计算,其目的是增加对控制单元的物理攻击的困难程度,以防止非授权更换控制单元。
[0114] 在参数存储单元中存放了如下信息:
[0115] [各管理角色的K份额]:把K用Shamir门限方案分割成三份后,用各管理角色的公钥加密后的结果,两方用各自的私钥解密后可恢复K;
[0116] [借出标志]:标示是否借出车辆;
[0117] [借出参数]:借出的起始/结束里程时间及启动次数等,设置或修改需使用车辆主钥匙进行车主数字签名;
[0118] (以下信息用主密钥K加密,加密算法可以是AES)
[0119] [保养参数]:车辆需返回服务单位进行保养的限制值,如10000公里/200天/1000次;
[0120] [远程认证]:每次远程认证后允许行驶的限制值,如500公里/5天/25次;
[0121] [借出限制]:如300公里/1天/8次;
[0122] [紧急状态行驶参数]:认证失败并正确输入紧急密码后的行驶限制值,可设成200公里/1天/8次,目的是减少拖车次数,本域中包含紧急密码;
[0123] [控制单元公钥环]:各个具有密码处理能力的单元的ECC公钥;
[0124] [管理公钥环]:车辆各个管理角色的ECC公钥;
[0125] [随机密钥R]:每次启动后生成的随机密钥,作为对各个具有密码处理能力的单元间传输的信息进行加密的密钥;
[0126] (以下信息用随机密钥R加密,加密算法可以是AES算法)
[0127] [上次认证发起者]:记录上次认证发起单元的ID号,根据各具有密码处理能力单元的公钥在控制单元公钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥所在的顺序位加1指向的就是本次的认证发起单元的公钥,从而求出本次的认证发起单元,轮流发起认证可以确保没有关键控制单元失效;
[0128] [行驶参数]:记录行驶的里程/天数/启动次数;
[0129] [远程认证后已行驶]:远程认证后已行驶的里程/天数/启动次数;
[0130] [车钥随机密钥]:一个随机密钥,也存放在车辆普通钥匙和车辆主钥匙中,每次启动后都用新的随机密钥替换。
[0131] 请参阅图3,其为本发明车辆控制系统的启动流程图,启动流程如下:
[0132] (2.1)驾驶者用车辆普通钥匙或车辆主钥匙接通电源,中央控制单元通过用户信息交换单元从车辆普通钥匙或车辆主钥匙中读取车钥随机密钥;
[0133] (2.2)中央控制单元从参数存储单元中读取随机密钥R并用主密钥K解密,接着从参数存储单元中读取上次认证发起者,根据各具有密码处理能力单元的公钥在控制单元公钥环中的存储顺序,则控制单元公钥环中上次认证发起者的公钥所在的顺序位加1指向的就是本次的认证发起单元的公钥,从而求出本次的认证发起单元,然后中央控制单元向本次的认证发起单元发送启动请求并等待其应答及接收其新的随机密钥R;
[0134] (2.3)认证发起单元从参数存储单元中读取借出标志,如果车辆处于借出状态,则验证车主借出车辆的数字签名,读出借出参数并检查,随后检查上次认证,正常则进入下一步,否则启动紧急验证;
[0135] (2.4)认证发起单元从参数存储单元中读取远程认证和远程认证后已行驶两个参数并判断是否需要进行远程认证,如果需要则通过移动控制通信单元获取服务商的数字签名信息,数字签名信息中包含服务商生成数字签名的日期时间,如果数字签名有效并且日期时间合法则验证通过并把参数存储单元中的远程认证已行驶清0,否则启动紧急验证;
[0136] (2.5)认证发起单元从参数存储单元中读取保养参数、行驶参数以及从本单元非易失存储器中存储的启动次数和上次认证等数据进行比较,正常且启动次数没有达到保养参数中启动的限制值,则生成本次启动后新的随机密钥R,然后向中央控制单元发送应答并用主密钥K对新的随机密钥R进行加密后发给密文总线上的其它各个具有密码处理能力的单元;认证发起单元从参数存储单元中读取车钥随机密钥,与通过用户信息交换单元从车辆普通钥匙或车辆主钥匙中读取的车钥随机密钥比对,一致则重新生成一个新的车钥随机密钥分别写入参数存储单元、车辆普通钥匙、车辆主钥匙中,不一致则请求车主数字签名,车主用车辆主钥匙进行车主数字签名,车主数字签名有效则重新生成一个新的车钥随机密钥并分别写入参数存储单元、车辆普通钥匙、车辆主钥匙中,否则启动紧急验证;
[0137] (2.6)中央控制单元收到认证发起单元的应答和新的随机密钥R后,提示驾驶者可以启动车辆,接着密文总线上的其它各个具有密码处理能力的单元以中断方式分别接受认证发起单元的挑战应答认证;随后在密文总线上传送的控制信息均用新的随机密钥R加密;中央控制单元把随机密钥R存到参数存储单元中,并不断更新参数存储单元中的行驶参数和远程认证已行驶两个参数;
[0138] (2.7)其它各个具有密码处理能力的单元把本单元中的启动次数加1,上次认证设成失败;
[0139] (2.8)对照控制单元公钥环中的各个具有密码处理能力的单元,认证发起单元生成一个随机数R1并和启动次数一起,使用接受认证的其它各个具有密码处理能力的单元的公钥加密形成挑战信息发给接受认证的单元;
[0140] (2.9)接受认证的具有密码处理能力的单元收到挑战信息后,用本单元的私钥解密信息,比对本单元的启动次数和上次认证发起者,如启动次数一致、本单元的上次认证发起者与认证发起单元的公钥在控制单元公钥环中差1个顺序位则正常,正常则本单元用随机密钥R加密随机数R1发回给认证发起单元作为应答并修改本单元的上次认证发起者和上次认证,其中本单元的上次认证设为成功,上次认证发起者设置为本次认证发起单元的ID号,否则启动紧急验证;其中每个单元出厂时都设有自身的ID号,作为各个单元的代号;
[0141] (2.10)认证发起单元在收到密文总线上其它具有密码处理能力的单元的正常应答信息后,修改本单元非易失存储器的上次认证、本单元非易失存储器和系统的参数存储单元中的上次认证发起者,其中本单元的上次认证设为成功,上次认证发起者设为本次认证发起单元的ID号,否则启动紧急验证。
[0142] 外借车辆:
[0143] 1、车主把存有车主私钥的车辆主钥匙插入密文总线的用户信息交换单元的I/O接口;
[0144] 2、车主选择借出车辆功能并设定借出车辆的里程时间和启动次数限制值后,中央控制单元把借出操作码、借出标志和借出参数发送给车辆主钥匙;
[0145] 3、车辆主钥匙识别借出操作码,利用车主的私钥对借出参数进行车主数字签名连同借出标志送给中央控制单元;
[0146] 4、中央控制单元把车辆主钥匙送来的数据存入到参数存储单元的借出标志和借出参数中。
[0147] 紧急验证:
[0148] (3.1)中央控制单元识别产生紧急验证的原因,如果车辆还能紧急行驶,则进入步骤(3.2),否则需要拖车;
[0149] (3.2)驾驶者输入紧急密码,中央控制单元从参数存储单元中读取紧急状态行驶参数并把其中的紧急密码与驾驶者输入的紧急密码比对,一致则启动紧急行驶并扣减紧急状态行驶参数,紧急状态行驶参数中某项减到0时需要拖车;
[0150] (3.3)如仅为暂无移动通讯信号则在信号恢复后,通过移动通讯控制单元接收车主和服务商的数字签名发出的重置指令而恢复紧急状态行驶参数,否则驾驶者把车辆开回服务维修点维修,修复后由车主和服务商一起通过利用Shamir门限方案恢复主密钥K来恢复紧急状态行驶参数等数据。
[0151] 锁定车辆:
[0152] 1、车主通过电话口头申请锁定车辆,服务商禁止车辆远程认证;
[0153] 2、车主带上身份证明材料到服务商处,与服务商一起通过移动通讯向车辆防盗系统的移动通信控制单元申请锁定车辆,如果车辆能进行移动通讯,则锁定成功,否则车辆行驶的里程时间和启动次数受远程认证和远程认证后已行驶两个参数制约。
[0154] 保养流程:
[0155] 1、服务商提供常规的车辆保养;
[0156] 2、中央控制单元接收由车主和服务商共同协商的新的保养参数,中央控制单元接收车主和服务商解密的K份额,利用Shamir门限方案恢复K并与本单元存储的K比对,一致则更新保养参数,车主和服务商也可协商修改其它参数。
[0157] 更换密文总线上的具有密码处理能力的单元:
[0158] 1、更换故障芯片;
[0159] 2、车主与服务商协商共同恢复主密钥K并发送更换具有密码处理能力单元的指令,中央控制单元将恢复的K与本单元存储的K比较,一致则生成新的主密钥K并把新生成的主密钥K、HASH2、上次认证发起者、启动次数和上次认证传送给新更换的单元,如更换的是中央控制单元,则本步骤由发动机控制单元执行;
[0160] 3、新更换的控制单元接收上一步的数据并存在本单元的非易失存储器中,以及生成本单元的公私钥对,秘密保存私钥,把公钥发送给中央控制单元;
[0161] 4、中央控制单元更新参数存储单元中的控制单元公钥环并用新的主密钥K加密信息,将新的主密钥K和HASH1发给密文总线上的其它单元。
[0162] 5、密文总线上的其它单元接收并存储中央控制单元发来的新的主密钥K和HASH1。
[0163] 上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受所述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
