一種防盜搶的車輛控制系統的製作方法

2023-05-01 16:09:26

專利名稱：一種防盜搶的車輛控制系統的製作方法
技術領域：
本實用新型涉及汽車防盜領域，尤其涉及一種防盜搶的車輛控制系統。
背景技術：
目前的車輛防盜裝置可分為機械鎖、電子防盜和遠程監控等三類。機械鎖使用廣泛，但非法開鎖的成本不斷下降，目前已普通認為安全性不足，因此很少單獨採用。電子防 盜正處於發展階段，常用的方法是通過電子鑰匙發送信息，車輛的防盜裝置收到信息後與 預先設定的信息比對，然後根據比對結果解鎖或鎖定，現已出現一些模仿電子鑰匙發送信 息的設備。遠程監控是通過無線信號實現對車輛的遠程監視和控制，但無線信號容易受到 屏蔽或模仿。現代車輛的機電控制系統越來越複雜，其中包括眾多控制單元和測試儀器，各控 制單元通過總線連接成區域網。例如一輛汽車可包括中央、發動機、自動變速器、防抱死制 動系統(ABS)、防盜等控制單元。由於各控制單元間沒有認證機制，維修服務單位可隨意替 換或更改其中某些部件而不被察覺，而高明的竊賊做同樣的事情則可把車輛盜走。

實用新型內容為了克服現有技術的缺點和不足，本實用新型的目的在於提供一種防盜搶的車輛 控制系統，利用密碼學技術使車輛多個控制單元形成加密區域網，以確保車輛的安全。為實現其技術目的，本實用新型的技術方案為一種防盜搶的車輛控制系統，包括車輛總線、中央控制單元、發動機控制單元、自 動變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元和用戶信息交換單元， 還包括用於傳輸加密信息的密文總線；用於車輛總線和密文總線通訊時加密明文或解密密文的明密文轉換器；若干條用於啟動車輛的車輛普通鑰匙；一條設置有密碼處理模塊並存儲車主私鑰，在借出車輛、丟失車輛普通鑰匙的情 況下進行車主數字籤名，在保養、更改車輛關鍵參數的情況下解密K份額，以及啟動車輛的 車輛主鑰匙；所述中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通 信控制單元、參數存儲單元和用戶信息交換單元均設置有用於密碼處理的密碼處理模塊；所述中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通 信控制單元、參數存儲單元和用戶信息交換單元分別與密文總線連接，所述密文總線通過 明密文轉換器與車輛總線相連。為更好的實現本實用新型，所述中央控制單元、發動機控制單元、自動變速控制單 元、制動控制單元、移動通信控制單元、參數存儲單元和用戶信息交換單元是採用滿足可信 計算規範的晶片，包括可信密碼模塊TCM或可信平臺模塊TPM。[0014]所述密碼處理模塊包括用於對密文總線上傳輸的信息和在參數存儲單元中存儲的信息進行加密、解密的 AES引擎；用於安全地生成密文總線上需要用到的各種密鑰的密鑰生成器，所述各種密鑰具 體是指密文總線上的主密鑰K、車鑰隨機密鑰、隨機密鑰R、密文總線上各單元和車主的私 鑰；用於為密鑰生成器生成安全密鑰及密文總線生成隨機數的隨機數發生器；用於密文總線上各個具有密碼處理能力的單元的完整性認證、認證車輛管理角色 身份的合法性，並對各管理角色分割主密鑰K的份額加密、解密的ECC引擎；用於通過把任意長的信息壓縮成定長的消息摘要來生成HASH1、HASH2以及用於 數字籤名的HASH引擎；所述HASHl是各個具有密碼處理能力的單元的公鑰組成的控制單元 公鑰環的HASH值，所述HASH2是由車輛各個管理角色的公鑰組成的管理公鑰環的HASH值； 所述數字籤名的一般方法用HASH引擎為要數字籤名的信息生成消息摘要，然後用私鑰對 消息摘要進行加密產生密文，該密文與原信息連接形成數字籤名消息；用於管理和控制整個密碼處理模塊的執行引擎；用於存儲主密鑰K、本單元的私鑰、HASHU HASH2、上次認證發起者、啟動次數及上 次認證的非易失存儲器，為了安全保存這些秘密信息，非易失存儲器上應該有穩健的保護 機制；I/O總線；所述AES引擎、密鑰生成器、隨機數發生器、ECC引擎、HASH引擎、執行引 擎、非易失存儲器分別與I/O總線相連。所述ECC引擎的等效8位乘法速度達到10，000, 000次/秒或以上。本實用新型的工作流程是(1)初始化中央控制單元生成主密鑰K並向其它各個具有密碼處理能力的單元發送初始化 請求和主密鑰K，其它各個具有密碼處理能力的單元向中央控制單元發送應答及本單元的 公鑰，中央控制單元把各具有密碼處理能力的單元的公鑰存在參數存儲單元的控制單元公 鑰環中；中央控制單元生成車主公私鑰對，把車主私鑰導出到車輛主鑰匙，收集車主、服務 商和車管部門的公鑰並存放在參數存儲單元的管理公鑰環中；中央控制單元把主密鑰K分 割後，分別用管理公鑰環中的各個公鑰加密後存儲在參數存儲單元中；中央控制單元分別 計算控制單元公鑰環和管理公鑰環的HASH值並分發給各具有密碼處理能力的單元，各具 有密碼處理能力的單元存儲HASH值並設置上次認證發起者為中央控制單元、啟動次數值 為0及上次認證為成功；中央控制單元接收用戶和服務商協商的車輛參數並按約定存儲在 參數存儲單元中，同時中央控制單元生成隨機密鑰R和車鑰隨機密鑰並存儲在參數存儲單 元中，把車鑰隨機密鑰導出存放到車輛鑰匙中，其中車輛鑰匙是指車輛普通鑰匙或車輛主 鑰匙；(2)啟動流程駕駛者用車輛鑰匙接通電源，中央控制單元通過用戶信息交換單元從車輛鑰匙中 讀取車鑰隨機密鑰；中央控制單元從參數存儲單元中讀取隨機密鑰R並向本次的認證發起 單元發送啟動請求並等待其應答及接收其新生成的隨機密鑰R ；認證發起單元判斷車輛是否處於借出狀態，若是處於借出狀態則驗證車主數字籤名，車主數字籤名不正常則啟動緊急驗證；如果車主數字籤名正常或車輛不是處於借出狀態，則認證發起單元判斷上次認證 是否成功及是否需要進行遠程認證，如果不正常則進行緊急驗證，如果正常則生成新的隨 機密鑰R，然後向中央控制單元發送應答並用主密鑰K對新的隨機密鑰R進行加密後發給加 密總線上的各個具有密碼處理能力的單元；認證發起單元驗證參數存儲單元中的車鑰隨機 密鑰與車輛鑰匙中車鑰隨機密鑰是否一致，一致則重新生成一個新的車鑰隨機密鑰分別寫 入參數存儲單元和車輛鑰匙中，不一致則請求車主數字籤名，如果車主數字籤名無效則啟 動緊急驗證；中央控制單元收到認證發起單元的應答和新的隨機密鑰R後，提示駕駛者可以啟 動車輛；中央控制單元把新的隨機密鑰R存到參數存儲單元中，並不斷更新參數存儲單元 中的行駛參數和遠程認證後已行駛兩個參數；密文總線上的其它各個具有密碼處理能力的單元以中斷方式接受認證發起單元 的挑戰應答認證，若其它各個具有密碼處理能力的單元認證成功則向認證發起單元發出應 答並修改本單元參數；否則啟動緊急驗證；(3)緊急驗證中央控制單元識別產生緊急驗證的原因，並驗證駕駛者輸入的緊急密碼是否正 確，正確則啟動緊急行駛並扣減緊急狀態行駛參數，當緊急狀態行駛參數中某項減到0時 需要接收車主和服務商的數字籤名發出的重置指令而恢復緊急狀態行駛參數，否則駕駛者 需把車輛送回服務維修點維修，修復後由車主和服務商一起通過恢復主密鑰K來恢復緊急 狀態行駛參數等數據。其中，所述初始化包括以下步驟(1. 1)中央控制單元生成主密鑰K和自己的公私鑰對，把主密鑰K和私鑰存放在自 己的非易失存儲器中，並向其它各個具有密碼處理能力的單元發送初始化請求和主密鑰K， 中央控制單元等待接收其它各個具有密碼處理能力的單元的應答和它們的公鑰；(1. 2)其它各個具有密碼處理能力的單元收到中央控制單元的初始化請求和主密 鑰K後檢查自己的非易失存儲器是否已經存放了主密鑰K及自己的私鑰，如果存了，則拒 絕，否則其它各具有密碼處理能力的單元生成本單元的公私鑰對，把主密鑰K和本單元的 私鑰存在自己的非易失存儲器中；其它各具有密碼處理能力的單元向中央控制單元發送應 答及本單元的公鑰，其它各具有密碼處理能力的單元等待接收控制單元公鑰環和管理公鑰 環的HASH值；(1. 3)中央控制單元收齊其它各具有密碼處理能力的單元的應答及公鑰後，把其 它各具有密碼處理能力的單元和本單元的公鑰存在參數存儲單元的控制單元公鑰環中並 用主密鑰K加密；(1. 4)中央控制單元生成車主的公私鑰對，把車主的私鑰從用戶信息交換單元導 出到車輛的主鑰匙後丟棄車主私鑰，中央控制單元從用戶信息交換單元導入服務商和車管 部門的公鑰，再把車主、服務商和車管部門的公鑰按順序存放在參數存儲單元的管理公鑰 環中並用主密鑰K加密；(1. 5)中央控制單元利用Shamir門限方案把K分割成三份，分別用車主、服務商和 車管部門的公鑰加密後存放在參數存儲單元中；[0039](1. 6)中央控制單元分別計算控制單元公鑰環和管理公鑰環的HASH值，並分發給其它各具有密碼處理能力的單元；其中控制單元公鑰環的HASH值記為HASH1、管理公鑰環 的HASH值記為HASH2 ；(1. 7)各具有密碼處理能力的單元把HASHl和HASH2、上次認證發起者、啟動次數、 上次認證存到自己的非易失存儲器中；其中上次認證發起者設為中央控制單元、啟動次數 設值為0及上次認證設為成功；(1. 8)接著由用戶和服務商協商設置保養參數、遠程認證、借出限制和緊急狀態行 駛參數，中央控制單元接收上述參數，把借出標誌設成「否」，上次認證發起者設成中央控制 單元，行駛參數和遠程認證後已行駛設為O並產生隨機密鑰R，這些信息均按約定存儲在參 數存儲單元中並用主密鑰K加密，同時中央控制單元生成車鑰隨機密鑰並分別存放到參數 存儲單元、車輛普通鑰匙和車輛主鑰匙中，其中參數存儲單元中的車鑰隨機密鑰用隨機密 鑰R加密。所述啟動過程包括以下步驟(2. 1)駕駛者用車輛普通鑰匙或車輛主鑰匙接通電源，中央控制單元通過用戶信 息交換單元從車輛普通鑰匙或車輛主鑰匙中讀取車鑰隨機密鑰；(2. 2)中央控制單元從參數存儲單元中讀取隨機密鑰R並用主密鑰K解密，接著從 參數存儲單元中讀取上次認證發起者，根據各具有密碼處理能力單元的公鑰在控制單元公 鑰環中的存儲順序，則控制單元公鑰環中上次認證發起者的公鑰所在的順序位加1指向的 就是本次的認證發起單元的公鑰，從而求出本次的認證發起單元，然後中央控制單元向本 次的認證發起單元發送啟動請求並等待其應答及接收其新的隨機密鑰R ；(2. 3)認證發起單元從參數存儲單元中讀取借出標誌，如果車輛處於借出狀態，則 驗證車主數字籤名，讀出借出參數並檢查，隨後檢查上次認證，正常則進入下一步，否則啟 動緊急驗證；(2. 4)認證發起單元從參數存儲單元中讀取遠程認證和遠程認證後已行駛兩個參 數並判斷是否需要進行遠程認證，如果需要則通過移動通信控制單元獲取服務商的數字籤 名信息，數字籤名信息中包含服務商生成數字籤名的日期時間，如果數字籤名有效並且日 期時間合法則驗證通過並把參數存儲單元中的遠程認證已行駛清0，否則啟動緊急驗證；(2. 5)認證發起單元從參數存儲單元中讀取保養參數、行駛參數以及從本單元非 易失存儲器中讀取的啟動次數和上次認證等數據進行比較，正常則生成本次啟動後新的隨 機密鑰R，然後向中央控制單元發送應答並用主密鑰K對新的隨機密鑰R進行加密後發給密 文總線上的其它各個具有密碼處理能力的單元；認證發起單元從參數存儲單元中讀取車鑰 隨機密鑰，與通過用戶信息交換單元從車輛普通鑰匙或車輛主鑰匙中讀取的車鑰隨機密鑰 比對，一致則重新生成一個新的車鑰隨機密鑰分別寫入參數存儲單元、車輛普通鑰匙、車輛 主鑰匙中，不一致則請求進行車主數字籤名，車主用車輛主鑰匙進行車主數字籤名，車主數 字籤名有效則重新生成一個新的車鑰隨機密鑰並分別寫入參數存儲單元、車輛普通鑰匙、 車輛主鑰匙中，否則啟動緊急驗證；(2. 6)中央控制單元收到認證發起單元的應答和新的隨機密鑰R後，提示駕駛者 可以啟動車輛，接著密文總線上的其它各個具有密碼處理能力的單元以中斷方式分別接受 認證發起單元的挑戰應答認證；隨後在密文總線上傳送的控制信息均用新的隨機密鑰R加密；中央控制單元把隨機密鑰R存到參數存儲單元中，並不斷更新參數存儲單元中的行駛參數和遠程認證已行駛；(2. 7)其它各個具有密碼處理能力的單元把本單元中的啟動次數加1，上次認證 設成失敗；(2. 8)對照控制單元公鑰環中的其它各個具有密碼處理能力的單元，認證發起單 元生成一個隨機數Rl並和啟動次數一起，使用接受認證的其它各個具有密碼處理能力的 單元的公鑰加密形成挑戰信息發給接受認證的單元；(2. 9)接受認證的具有密碼處理能力的單元收到挑戰信息後，用本單元的私鑰解 密信息，比對本單元的啟動次數和上次認證發起者，如啟動次數一致、本單元的上次認證發 起者與認證發起單元的公鑰在控制單元公鑰環中差1個順序位則正常，正常則本單元用 隨機密鑰R加密隨機數Rl發回給認證發起單元作為應答並修改本單元的上次認證發起者 和上次認證，其中本單元的上次認證設為成功，上次認證發起者設置為本次認證發起單元 的ID號，否則啟動緊急驗證；其中每個單元出廠時都設有自身的ID號，作為各個單元的代 號；(2. 10)認證發起單元在收到密文總線上其它具有密碼處理能力的單元的正常應 答信息後，修改本單元非易失存儲器中的上次認證、本單元非易失存儲器和車輛防盜系統 的參數存儲單元中的上次認證發起者，其中本單元的上次認證設為成功，上次認證發起者 設為本次認證發起單元的ID號，否則啟動緊急驗證。所述緊急驗證包括以下步驟(3. 1)中央控制單元識別產生緊急驗證的原因，如果車輛還能緊急行駛，則進入步 驟(3. 2)，否則需要拖車;(3. 2)駕駛者輸入緊急密碼，中央控制單元從參數存儲單元中讀取緊急狀態行駛 參數並把其中的緊急密碼與駕駛者輸入的緊急密碼比對，一致則啟動緊急行駛並扣減緊急 狀態行駛參數，緊急狀態行駛參數中某項減到0時需要拖車；(3. 3)如僅為暫無移動通訊信號則在信號恢復後，通過移動通訊控制單元接收車 主和服務商的數字籤名發出的重置指令而恢復緊急狀態行駛參數，否則駕駛者把車輛開回 服務維修點維修，修復後由車主和服務商一起通過利用Shamir門限方案恢復主密鑰K來恢 復緊急狀態行駛參數等數據。所述保養參數具體是指車輛需送回服務維修點進行保養的限制值；當達到保養參 數規定的限制值時，車輛需送回服務維修點進行保養；所述保養流程包括以下步驟(4. 1)服務商提供常規的車輛保養；(4. 2)中央控制單元接收由車主和服務商共同協商的新的保養參數，中央控制單 元接收車主和服務商解密的K份額，利用Shamir門限方案恢復K並與本單元存儲的K比對， 一致則更新保養參數。本實用新型的工作原理是利用多個具有密碼處理能力的單元和密文總線形成一 個加密區域網。密文總線上的各具有密碼處理能力的單元共享一個主密鑰K，在密文總線上 傳輸的信息均經過AES算法加密，主密鑰K採用Shamir門限方案分割後由多方保存，其中 任意兩方協同可恢復主密鑰K，密文總線上每個單元均秘密保存其自身的私鑰，每次啟動後均進行加密區域網完整性認證。與現有技術相比，本實用新型具有以下有益效果第一、防止別人非法開動車輛車輛鑰匙中的車鑰隨機密鑰與防盜系統中參數存儲單元加密存儲的車鑰隨機密鑰比對正確後才可啟動車輛，並且每次啟動後均要替換雙方 的車鑰隨機密鑰。即使採用強迫車主數字籤名借出車輛等手段成功開動車輛，其後續行駛 也受車輛管理角色即車主、車輛服務商和車輛管理部門中的兩方通過移動通訊節制。如果 屏蔽了移動通訊，則車輛的行駛裡程、啟動次數、行駛時間均受到預先設置的遠程認證的限 制。第二、防止別人非法更換車輛密文總線上的元件即使是服務商，除非成功更換密 文總路線上的所有具有密碼處理能力的單元且所有新更換的單元均能正確協同控制車輛 各個部件，否則由於不能恢復密文總線的主密鑰K而無法正常進行車輛的完整性認證。第三、限制外借車輛的行駛裡程且車主可通過移動通訊增加該裡程車輛借出及 其行駛的裡程由車主設定並進行車主數字籤名，車主設定的借出行駛裡程不能超過初始化 時由車主和服務商共同確定的限制值，該限制值的修改必須由管理角色中的兩方共同恢復 密文總線上的主密鑰K方可進行。由於特殊原因而無法及時歸還車輛，車主可以通過移動 通訊向車輛再發送車主數字籤名的借出信息，則車輛可以繼續行駛。第四、兩方協同保養，提高用車安全車輛需要保養時會提示車主保養，並在車主 和服務商協同恢復密文總線的主密鑰K後方可正確正常地保養車輛。第五、車輛的普通鑰匙丟失的處理方法簡單用車輛主鑰匙進行車主數字籤名啟 動一次車輛即可使丟失的普通鑰匙失效。第六、車輛管理角色單方丟失私鑰對車輛安全性影響可控對於車輛的主鑰匙丟 失，則通過服務商和車輛管理部門協作來更換車輛主鑰匙；否則丟失的私鑰所涉及的車輛 均更換管理角色的公鑰即可。

圖1為本實用新型一種防盜搶的車輛控制系統的示意圖；圖2為本實用新型用於密碼處理的密碼處理模塊的結構示意圖；圖3為本實用新型一種防盜搶的車輛控制系統的啟動流程圖。
具體實施方式
下面結合實施例及附圖，對本實用新型作進一步地詳細說明，但本實用新型的實 施方式不限於此。—種防盜搶的車輛控制系統，如圖1所示，包括車輛總線、中央控制單元、發動機 控制單元、自動變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元和用戶信 息交換單元，還包括用於傳輸加密信息的密文總線；用於車輛總線和密文總線通訊時加密明文或解密密文的明密文轉換器；若干條用於啟動車輛的車輛普通鑰匙；一條設置有密碼處理模塊並存儲車主私鑰，在借出車輛、丟失車輛普通鑰匙的情況下進行車主數字籤名，在保養、更改車輛關鍵參數的情況下解密K份額，以及啟動車輛的車輛主鑰匙；所述中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通 信控制單元、參數存儲單元和用戶信息交換單元均設置有密碼處理模塊，具有密碼處理能 力；所述中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通 信控制單元、參數存儲單元和用戶信息交換單元分別與密文總線連接，所述密文總線通過 明密文轉換器與車輛總線相連。所述中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通 信控制單元、參數存儲單元和用戶信息交換單元是採用滿足可信計算規範的晶片，包括可 信密碼模塊TCM或可信平臺模塊TPM。 所述移動通信單元通過藍牙接口與外部進行通信。其中因為車輛主鑰匙設置有密碼處理模塊並存儲了車主的私鑰，具有密碼處理能 力，能和車輛防盜系統內的其它具有密碼處理能力的單元協同認證成功，所以車輛主鑰匙 中不存放車鑰隨機密鑰也可以啟動車輛，在車輛主鑰匙中存放該隨機密鑰是為了加快用車 輛主鑰匙下次啟動車輛的速度。因此一般情況下用車輛普通鑰匙啟動車輛，車輛主鑰匙是 在借出車輛、保養、丟失車輛普通鑰匙等情況下使用。如圖2所示，所述密碼處理模塊包括用於對密文總線上傳輸的信息和在參數存儲單元中存儲的信息進行加密、解密的 AES引擎；用於安全地生成密文總線上需要用到的各種密鑰的密鑰生成器，所述各種密鑰具 體是指密文總線上的主密鑰K、車鑰隨機密鑰、隨機密鑰R、密文總線上各單元和車主的私 鑰；用於為密鑰生成器生成安全密鑰及密文總線生成隨機數的隨機數發生器；用於密文總線上各個具有密碼處理能力的單元的完整性認證、認證車輛管理角色 身份的合法性，並對各管理角色分割主密鑰K的份額加密、解密的ECC引擎；用於通過把任意長的信息壓縮成定長的消息摘要來生成HASH1、HASH2以及用於 數字籤名的HASH引擎；所述HASHl是各個具有密碼處理能力的單元的公鑰組成的控制單元 公鑰環的HASH值，所述HASH2是由車輛各個管理角色的公鑰組成的管理公鑰環的HASH值； 所述數字籤名的一般方法用HASH引擎為要數字籤名的信息生成消息摘要，然後用私鑰對 消息摘要進行加密產生密文，該密文與原信息連接形成數字籤名消息；用於管理和控制整個密碼處理模塊的執行引擎；用於存儲主密鑰K、本單元的私鑰、HASHU HASH2、上次認證發起者、啟動次數及上 次認證的非易失存儲器，為了安全保存這些秘密信息而不外洩，非易失存儲器上應該有穩 健的保護機制；I/O總線；所述AES引擎、密鑰生成器、隨機數發生器、ECC引擎、HASH引擎、執行引 擎、非易失存儲器分別與I/O總線相連。所述ECC引擎的等效8位乘法速度達到10，000, 000次/秒或以上。為實現本實用新型的安全目標，購買車輛時需要對車輛初始化，其後通過啟動流程、外借車輛、緊急驗證、鎖定車輛、保養流程、更換密文總線上的具有密碼處理能力的單元等流程確保車輛安全，各流程如下所述初始化(1. 1)中央控制單元生成主密鑰K和自己的公私鑰對，把主密鑰K和私鑰存放在自 己的非易失存儲器中，並向其它各個具有密碼處理能力的單元(如發動機控制單元、自動 變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元和用戶信息交換單元)發 送初始化請求和主密鑰K，中央控制單元等待接收其它各個具有密碼處理能力的單元的應 答和它們的公鑰；(1. 2)其它各個具有密碼處理能力的單元收到中央控制單元的初始化請求和主密 鑰K後檢查自己的非易失存儲器是否已經存放了主密鑰K及自己的私鑰，如果存了，則拒 絕，否則各其它具有密碼處理能力的單元生成本單元的公私鑰對，把主密鑰K和本單元的 私鑰存在自己的非易失存儲器中；其它各具有密碼處理能力的單元向中央控制單元發送應 答及本單元的公鑰，其它各具有密碼處理能力的單元等待接收控制單元公鑰環和管理公鑰 環的HASH值；(1. 3)中央控制單元收齊其它各具有密碼處理能力的單元的應答及公鑰後，把其 它各具有密碼處理能力的單元和本單元的公鑰存在參數存儲單元的控制單元公鑰環中並 用主密鑰K加密；(1. 4)中央控制單元生成車主的公私鑰對，把車主的私鑰從用戶信息交換單元導 出到車輛的主鑰匙後丟棄車主私鑰，中央控制單元從用戶信息交換單元導入服務商和車管 部門的公鑰，再把車主、服務商和車管部門的公鑰按順序存放在參數存儲單元的管理公鑰 環中並用主密鑰K加密；(1. 5)中央控制單元利用Shamir門限方案把K分割成三份，分別用車主、服務商和 車管部門的公鑰加密後存放在參數存儲單元中；(車主、服務商和車管部門中任意兩方用 各自的私鑰解密後即可恢復K ；)(1. 6)中央控制單元分別計算控制單元公鑰環和管理公鑰環的HASH值，並分發給 其它各具有密碼處理能力的單元；其中控制單元公鑰環的HASH值記為HASHl和管理公鑰環 的HASH值記為HASH2 ；(1. 7)各具有密碼處理能力的單元把HASHl和HASH2、上次認證發起者、啟動次數、 上次認證存到自己的非易失存儲器中；其中上次認證發起者設為中央控制單元、啟動次數 設值為0及上次認證設為成功；(1. 8)接著由用戶和服務商協商設置保養參數(如10000公裡/200天/1000次)、 遠程認證(如500公裡/3天/15次)、借出限制(如300公裡/1天/8次)和緊急狀態行 駛參數(如200公裡/1天/8次及緊急密碼)，中央控制單元接收上述參數，把借出標誌設 成「否」，上次認證發起者設成中央控制單元，行駛參數和遠程認證後已行駛設為0並產生 隨機密鑰R，這些信息均按約定存儲在參數存儲單元中並用主密鑰K加密，同時中央控制單 元生成車鑰隨機密鑰並分別存放到參數存儲單元、車輛普通鑰匙和車輛主鑰匙中，其中參 數存儲單元中的車鑰隨機密鑰用隨機密鑰R加密。初始化後，密碼處理模塊的非易失存儲器中存儲如下信息[ID]:本單元代號，出廠時設定；[0105][K]共享的主密鑰；[ECC_Skey]本單元的 ECC 私鑰；[HASH1](控制單元公鑰環)各個具有密碼處理能力單元的公鑰組成的控制單元公鑰環的HASH值，用於檢測是否發生對控制單元公鑰環的非法修改；[HASH2](管理公鑰環)車輛防盜系統的管理角色(車主、服務商和車管部門)組 成的管理公鑰環的HASH值，用於檢測是否發生對管理公鑰環的非法修改；[上次認證發起者]:記錄上次發起認證的單元的ID號，根據各具有密碼處理能力 單元的公鑰在控制單元公鑰環中的存儲順序，則控制單元公鑰環中上次認證發起者的公鑰 所在的順序位加1指向的就是本次的認證發起單元的公鑰，從而求出本次認證發起單元， 輪流發起認證可以確保沒有關鍵控制單元失效；[啟動次數]啟動次數計數器；[上次認證]指示本次認證的結果，認證前先設為「失敗」，認證完成後再設置為 「成功」；這些內容應當只允許本單元中的代碼讀取，如果控制單元的代碼存儲區允許重寫 但不允許外部讀取，則這些值可以用AES加密後再存放，其加密密鑰通過程序按某種規律 計算，其目的是增加對控制單元的物理攻擊的困難程度，以防止非授權更換控制單元。在參數存儲單元中存放了如下信息[各管理角色的K份額]把K用Shamir門限方案分割成三份後，用各管理角色的 公鑰加密後的結果，兩方用各自的私鑰解密後可恢復K ；[借出標誌]標示是否借出車輛；[借出參數]借出的起始/結束裡程時間及啟動次數等，設置或修改需使用車輛 主鑰匙進行車主數字籤名；(以下信息用主密鑰K加密，加密算法可以是AES)[保養參數]車輛需返回服務單位進行保養的限制值，如10000公裡/200天 /1000 次；[遠程認證]每次遠程認證後允許行駛的限制值，如500公裡/5天/25次；[借出限制]如300公裡/1天/8次；[緊急狀態行駛參數]認證失敗並正確輸入緊急密碼後的行駛限制值，可設成 200公裡/1天/8次，目的是減少拖車次數，本域中包含緊急密碼；[控制單元公鑰環]各個具有密碼處理能力的單元的ECC公鑰；[管理公鑰環]車輛各個管理角色的ECC公鑰；[隨機密鑰R]每次啟動後生成的隨機密鑰，作為對各個具有密碼處理能力的單 元間傳輸的信息進行加密的密鑰；(以下信息用隨機密鑰R加密，加密算法可以是AES算法)[上次認證發起者]記錄上次認證發起單元的ID號，根據各具有密碼處理能力單 元的公鑰在控制單元公鑰環中的存儲順序，則控制單元公鑰環中上次認證發起者的公鑰所 在的順序位加1指向的就是本次的認證發起單元的公鑰，從而求出本次的認證發起單元， 輪流發起認證可以確保沒有關鍵控制單元失效；[行駛參數]記錄行駛的裡程/天數/啟動次數；[0128][遠程認證後已行駛]遠程認證後已行駛的裡程/天數/啟動次數；[車鑰隨機密鑰]一個隨機密鑰，也存放在車輛普通鑰匙和車輛主鑰匙中，每次 啟動後都用新的隨機密鑰替換。請參閱圖3，其為本實用新型車輛控制系統的啟動流程圖，啟動流程如下(2. 1)駕駛者用車輛普通鑰匙或車輛主鑰匙接通電源，中央控制單元通過用戶信 息交換單元從車輛普通鑰匙或車輛主鑰匙中讀取車鑰隨機密鑰；(2. 2)中央控制單元從參數存儲單元中讀取隨機密鑰R並用主密鑰K解密，接著從 參數存儲單元中讀取上次認證發起者，根據各具有密碼處理能力單元的公鑰在控制單元公 鑰環中的存儲順序，則控制單元公鑰環中上次認證發起者的公鑰所在的順序位加1指向的 就是本次的認證發起單元的公鑰，從而求出本次的認證發起單元，然後中央控制單元向本 次的認證發起單元發送啟動請求並等待其應答及接收其新的隨機密鑰R ；(2. 3)認證發起單元從參數存儲單元中讀取借出標誌，如果車輛處於借出狀態，則 驗證車主借出車輛的數字籤名，讀出借出參數並檢查，隨後檢查上次認證，正常則進入下一 步，否則啟動緊急驗證；(2. 4)認證發起單元從參數存儲單元中讀取遠程認證和遠程認證後已行駛兩個參 數並判斷是否需要進行遠程認證，如果需要則通過移動控制通信單元獲取服務商的數字籤 名信息，數字籤名信息中包含服務商生成數字籤名的日期時間，如果數字籤名有效並且日 期時間合法則驗證通過並把參數存儲單元中的遠程認證已行駛清0，否則啟動緊急驗證；(2. 5)認證發起單元從參數存儲單元中讀取保養參數、行駛參數以及從本單元非 易失存儲器中存儲的啟動次數和上次認證等數據進行比較，正常且啟動次數沒有達到保養 參數中啟動的限制值，則生成本次啟動後新的隨機密鑰R，然後向中央控制單元發送應答並 用主密鑰K對新的隨機密鑰R進行加密後發給密文總線上的其它各個具有密碼處理能力的 單元；認證發起單元從參數存儲單元中讀取車鑰隨機密鑰，與通過用戶信息交換單元從車 輛普通鑰匙或車輛主鑰匙中讀取的車鑰隨機密鑰比對，一致則重新生成一個新的車鑰隨機 密鑰分別寫入參數存儲單元、車輛普通鑰匙、車輛主鑰匙中，不一致則請求車主數字籤名， 車主用車輛主鑰匙進行車主數字籤名，車主數字籤名有效則重新生成一個新的車鑰隨機密 鑰並分別寫入參數存儲單元、車輛普通鑰匙、車輛主鑰匙中，否則啟動緊急驗證；(2. 6)中央控制單元收到認證發起單元的應答和新的隨機密鑰R後，提示駕駛者 可以啟動車輛，接著密文總線上的其它各個具有密碼處理能力的單元以中斷方式分別接受 認證發起單元的挑戰應答認證；隨後在密文總線上傳送的控制信息均用新的隨機密鑰R加 密；中央控制單元把隨機密鑰R存到參數存儲單元中，並不斷更新參數存儲單元中的行駛 參數和遠程認證已行駛兩個參數；(2. 7)其它各個具有密碼處理能力的單元把本單元中的啟動次數加1，上次認證 設成失敗；(2. 8)對照控制單元公鑰環中的各個具有密碼處理能力的單元，認證發起單元生 成一個隨機數Rl並和啟動次數一起，使用接受認證的其它各個具有密碼處理能力的單元 的公鑰加密形成挑戰信息發給接受認證的單元；(2. 9)接受認證的具有密碼處理能力的單元收到挑戰信息後，用本單元的私鑰解 密信息，比對本單元的啟動次數和上次認證發起者，如啟動次數一致、本單元的上次認證發起者與認證發起單元的公鑰在控制單元公鑰環中差1個順序位則正常，正常則本單元用隨機密鑰R加密隨機數Rl發回給認證發起單元作為應答並修改本單元的上次認證發起者 和上次認證，其中本單元的上次認證設為成功，上次認證發起者設置為本次認證發起單元 的ID號，否則啟動緊急驗證；其中每個單元出廠時都設有自身的ID號，作為各個單元的代 號；(2. 10)認證發起單元在收到密文總線上其它具有密碼處理能力的單元的正常應 答信息後，修改本單元非易失存儲器的上次認證、本單元非易失存儲器和系統的參數存儲 單元中的上次認證發起者，其中本單元的上次認證設為成功，上次認證發起者設為本次認 證發起單元的ID號，否則啟動緊急驗證。外借車輛1、車主把存有車主私鑰的車輛主鑰匙插入密文總線的用戶信息交換單元的I/O 接口 ；2、車主選擇借出車輛功能並設定借出車輛的裡程時間和啟動次數限制值後，中央 控制單元把借出操作碼、借出標誌和借出參數發送給車輛主鑰匙；3、車輛主鑰匙識別借出操作碼，利用車主的私鑰對借出參數進行車主數字籤名連 同借出標誌送給中央控制單元；4、中央控制單元把車輛主鑰匙送來的數據存入到參數存儲單元的借出標誌和借 出參數中。緊急驗證(3. 1)中央控制單元識別產生緊急驗證的原因，如果車輛還能緊急行駛，則進入步 驟(3. 2)，否則需要拖車;(3. 2)駕駛者輸入緊急密碼，中央控制單元從參數存儲單元中讀取緊急狀態行駛 參數並把其中的緊急密碼與駕駛者輸入的緊急密碼比對，一致則啟動緊急行駛並扣減緊急 狀態行駛參數，緊急狀態行駛參數中某項減到0時需要拖車；(3. 3)如僅為暫無移動通訊信號則在信號恢復後，通過移動通訊控制單元接收車 主和服務商的數字籤名發出的重置指令而恢復緊急狀態行駛參數，否則駕駛者把車輛開回 服務維修點維修，修復後由車主和服務商一起通過利用Shamir門限方案恢復主密鑰K來恢 復緊急狀態行駛參數等數據。鎖定車輛1、車主通過電話口頭申請鎖定車輛，服務商禁止車輛遠程認證；2、車主帶上身份證明材料到服務商處，與服務商一起通過移動通訊向車輛防盜系 統的移動通信控制單元申請鎖定車輛，如果車輛能進行移動通訊，則鎖定成功，否則車輛行 駛的裡程時間和啟動次數受遠程認證和遠程認證後已行駛兩個參數制約。保養流程1、服務商提供常規的車輛保養；2、中央控制單元接收由車主和服務商共同協商的新的保養參數，中央控制單元接 收車主和服務商解密的K份額，利用Shamir門限方案恢復K並與本單元存儲的K比對，一 致則更新保養參數，車主和服務商也可協商修改其它參數。更換密文總線上的具有密碼處理能力的單元[0157]1、更換故障晶片；2、車主與服務商協商共同恢復主密鑰K並發送更換具有密碼處理能力單元的指令，中央控制單元將恢復的K與本單元存儲的K比較，一致則生成新的主密鑰K並把新生成 的主密鑰K、HASH2、上次認證發起者、啟動次數和上次認證傳送給新更換的單元，如更換的 是中央控制單元，則本步驟由發動機控制單元執行；3、新更換的控制單元接收上一步的數據並存在本單元的非易失存儲器中，以及生 成本單元的公私鑰對，秘密保存私鑰，把公鑰發送給中央控制單元；4、中央控制單元更新參數存儲單元中的控制單元公鑰環並用新的主密鑰K加密 信息，將新的主密鑰K和HASHl發給密文總線上的其它單元。5、密文總線上的其它單元接收並存儲中央控制單元發來的新的主密鑰K和 HASHl0上述實施例為本實用新型較佳的實施方式，但本實用新型的實施方式並不受所述 實施例的限制，其他的任何未背離本實用新型的精神實質與原理下所作的改變、修飾、替 代、組合、簡化，均應為等效的置換方式，都包含在本實用新型的保護範圍之內。
權利要求一種防盜搶的車輛控制系統，包括車輛總線、中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元和用戶信息交換單元，其特徵在於還包括用於傳輸加密信息的密文總線；用於車輛總線和密文總線通訊時加密明文或解密密文的明密文轉換器；若干條用於啟動車輛的車輛普通鑰匙；一條設置有密碼處理模塊並存儲車主私鑰，在借出車輛、丟失車輛普通鑰匙的情況下進行車主數字籤名，在保養、更改車輛關鍵參數的情況下解密K份額，以及啟動車輛的車輛主鑰匙；所述中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元和用戶信息交換單元均設置有用於密碼處理的密碼處理模塊；所述中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元和用戶信息交換單元分別與密文總線連接，所述密文總線通過明密文轉換器與車輛總線相連。
2.根據權利要求1所述的一種防盜搶的車輛控制系統，其特徵在於所述中央控制單 元、發動機控制單元、自動變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元 和用戶信息交換單元是採用滿足可信計算規範的晶片，包括可信密碼模塊TCM或可信平臺 模塊TPM。
3.根據權利要求1所述的一種防盜搶的車輛控制系統，其特徵在於所述密碼處理模 塊包括用於對密文總線上傳輸的信息和在參數存儲單元中存儲的信息進行加密、解密的AES 引擎；用於安全地生成密文總線上需要用到的各種密鑰的密鑰生成器，所述各種密鑰具體是 指密文總線上的主密鑰K、車鑰隨機密鑰、隨機密鑰R、密文總線上各單元和車主的私鑰； 用於為密鑰生成器生成安全密鑰及密文總線生成隨機數的隨機數發生器； 用於密文總線上各個具有密碼處理能力的單元的完整性認證、認證車輛管理角色身份 的合法性，並對各管理角色分割主密鑰K的份額加密、解密的ECC引擎；用於通過把任意長的信息壓縮成定長的消息摘要來生成HASH1、HASH2以及用於數字 籤名的HASH引擎；所述HASH1是各個具有密碼處理能力的單元的公鑰組成的控制單元公鑰 環的HASH值，所述HASH2是由車輛各個管理角色的公鑰組成的管理公鑰環的HASH值； 用於管理和控制整個密碼處理模塊的執行引擎；用於存儲主密鑰(K)、本單元的私鑰、HASH1、HASH2、上次認證發起者、啟動次數及上次 認證的非易失存儲器；I/O總線；所述AES引擎、密鑰生成器、隨機數發生器、ECC引擎、HASH引擎、執行引擎、 非易失存儲器分別與I/O總線相連。
專利摘要本實用新型公開了一種防盜搶的車輛控制系統，包括均設置有密碼處理模塊的中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元、用戶信息交換單元和車輛主鑰匙，另外還包括明密文轉換器、密文總線、車輛普通鑰匙和車輛主鑰匙；所述中央控制單元、發動機控制單元、自動變速控制單元、制動控制單元、移動通信控制單元、參數存儲單元和用戶信息交換單元分別與密文總線連接，所述密文總線通過明密文轉換器與車輛總線相連。本實用新型有效提高了車輛的安全性，防止別人非法開動車輛、非法更換密文總線上的元件、且車輛的普通鑰匙丟失的處理方法簡單。
文檔編號B60R25/00GK201559614SQ20092005665
公開日2010年8月25日 申請日期2009年5月15日 優先權日2009年5月15日
發明者唐韶華, 鄒候文 申請人:華南理工大學