[发明专利]用于汽车电子控制单元的安全访问方法

说明书

技术领域

本发明总体涉及一种用于安全访问或解锁车辆上的电子控制单元（ECU）的系统和方法，更具体而言，涉及一种用于安全访问或解锁车辆上的ECU的系统和方法，其中，该系统包括从ECU接收ECU识别值和安全询问的远程安全服务器，并且该服务器使用ECU识别值来识别用于ECU的ECU安全密钥值，以便提供对询问的响应。

背景技术

很多现代车辆包括电子控制单元（ECU），或控制器，其控制车辆系统的操作，诸如动力系、气候控制系统、信息娱乐系统、车身系统、底盘系统、以及其它系统。这种控制器需要为特殊目的设计的软件，以便执行控制功能。随着这些控制器的数量以及复杂性增加，以及恶意软件开发者所带来的增长的威胁，现在比以往更重要的是认证安装在汽车控制器上的软件文件的来源和内容。在车辆控制器中使用未经适当证实的软件或者更糟的是恶意设计的软件的后果包括车辆或其系统的未曾预料的行为，失去车辆上的防盗特征，对诸如里程表等构件的潜在篡改，以及失去其它车辆特征和功能。

由于各种原因，车辆上的ECU必须偶尔进行维护或更新，其中，维护设施需要访问ECU，下载诊断故障代码或其它错误、对ECU重新编程，或者执行一些其它操作以便处理车辆问题。然而，为了安全，重要的是，仅认证的人员能够访问车辆上的ECU来执行维护操作，因为未经认证的使用者可能执行恶意或不当的活动，其不利地影响车辆操作。换句话说，重要的是，未经认证的使用者不能够访问车辆ECU来以可能是恶意的或损害车辆的软件来对ECU进行编程。因此，需要具有安全的技术来解锁ECU，以便编程、维护和其它操作。

使用某种类型的询问/响应机制，可以使车辆ECU解锁，用于安全敏感的诊断操作，询问/响应机制有时称为‘种子和密钥’，其中，种子代表询问，密钥代表响应。例如，试图访问ECU的维护工具将造成ECU发出询问消息，诸如某种类型的问题，其被预编程在ECU上，工具必须以适当的响应来回答该询问，该适当的响应也被预编程在ECU上，如果回答正确将使得ECU允许工具访问它。诊断标准识别该过程如何实施。例如，ISO14229限定了允许使用询问/响应机制解锁设备的安全访问服务。

以上所述类型的询问/响应机制通常有两个分类。第一分类包括固定的询问，其中询问以及因此其期望的响应都是固定的。在这种实施方式中，ECU简单地存储询问和响应，其中，不需要设备自身能够计算对于给定询问的响应。这种系统的一个缺点在于一旦响应被知道，则其永远被知道，今天解锁ECU的相同响应在明天也将解锁相同的ECU。因此，由这种类型的询问/响应机制所提供的安全是有限的。

第二分类包括可变的响应，其中，每个ECU解锁操作造成ECU发出不同的询问。这通常通过使要解锁的设备具有计算所给询问的响应的能力而实现。在很多实施方式中，其采用允许计算所给询问的响应的保密算法的形式。其优点在于防止响应在稍晚的时间被使用，但缺点在于，系统的安全依赖于算法的保密性。如果所有的设备使用相同的算法，则必须嵌入每个ECU中的算法的暴露将降低系统的整体安全性。

发明内容

根据本发明的教导，公开了用于解锁车辆ECU以便允许文件安装到ECU上的系统和方法。ECU存储识别特定的ECU的独特的ECU识别值，安全服务器存储ECU识别值和独特的ECU安全密钥值，其中，识别值识别服务器中的安全密钥值，并且，安全服务器存储对于很多ECU来说独特的ECU识别值和独特的安全密钥值。希望访问ECU以便软件重新编程或维护的维护工具从ECU请求ECU识别值和询问，并将ECU识别值和询问发送给安全服务器，然后，安全服务器识别与ECU识别值相关联的安全密钥值和询问的响应。然后，安全服务器将响应发送给维护工具，维护工具将其提供给ECU以便解锁ECU来编程。下一次ECU被维护时，其提供安全服务器将能够正确地响应的不同的询问，因为它知道ECU安全密钥值。

此外，本发明还涉及以下技术方案。

1. 一种允许访问车辆上的电子控制单元（ECU）的方法，所述方法包括：

在ECU的存储器中存储识别ECU的ECU识别值；

在远程安全数据库中存储所述ECU识别值以及与所述ECU识别值相关联的ECU安全密钥值；

由维护工具从ECU请求所述ECU识别值；

响应于所述请求，在ECU中产生询问；

从ECU向所述维护工具发送所述ECU识别值和所述询问；

从所述维护工具向所述安全数据库发送所述ECU识别值和所述询问；

识别对应于所述ECU识别值的EUC安全密钥值；