本公開一般地涉及支持具有不等能力的設(shè)備(例如，車載電子傳感器和設(shè)備、諸如工業(yè)地板和家庭自動化設(shè)備之類的自動化設(shè)備、以及具有不同的通信和處理功能的任意其它聯(lián)網(wǎng)的電子設(shè)備)的互操作性的系統(tǒng)。

背景技術(shù)：

諸如汽車和卡車之類的現(xiàn)代車輛通常使用許多聯(lián)網(wǎng)的電子設(shè)備(其范圍從生成不同反饋信號的簡單傳感器、到由微控制器和微型計算機(jī)組成的更復(fù)雜的電子控制單元(ECU))用于控制車輛系統(tǒng)和操作，從而支持車輛與該車輛外部的系統(tǒng)之間的通信，并且向用戶提供應(yīng)用。安全能力對于這些設(shè)備保護(hù)車內(nèi)消息完整性和機(jī)密性、防止消息回復(fù)攻擊、以及設(shè)備認(rèn)證是重要的。當(dāng)車內(nèi)設(shè)備與車輛外部的認(rèn)證服務(wù)器(例如外部診斷設(shè)備、預(yù)置設(shè)備、以及遠(yuǎn)程遙測系統(tǒng))進(jìn)行通信時，這些相同的安全能力也是重要的。車輛上的原設(shè)備通常在設(shè)備或車輛制造過程期間被認(rèn)證或被假設(shè)為可信的。然而，在車輛離開生產(chǎn)廠之后，沒有用于進(jìn)一步設(shè)備認(rèn)證或用于進(jìn)一步安全密鑰導(dǎo)出或分發(fā)的規(guī)定。

支持跨異構(gòu)網(wǎng)絡(luò)中廣泛多樣的車內(nèi)設(shè)備的車內(nèi)設(shè)備認(rèn)證系統(tǒng)是難以獲得的。例如，由于控制器區(qū)域網(wǎng)絡(luò)(CAN)總線不提供設(shè)備認(rèn)證機(jī)制，諸如種子密鑰方法之類的應(yīng)用層認(rèn)證機(jī)制已被用來控制從外部診斷工具到ECU固件的訪問以用于ECU固件更新。然而這些應(yīng)用層認(rèn)證機(jī)制不能支持對所有類型的車內(nèi)網(wǎng)絡(luò)進(jìn)行認(rèn)證，特別是對于只發(fā)送但不接收數(shù)據(jù)的設(shè)備(例如，傳感器)、以及不能執(zhí)行復(fù)雜的加密操作的設(shè)備。用于車內(nèi)以太網(wǎng)絡(luò)的各種認(rèn)證工具被限制為支持以太網(wǎng)MAC層處的設(shè)備認(rèn)證。因此，應(yīng)用層和特定于網(wǎng)絡(luò)的認(rèn)證和安全密鑰生成和分發(fā)協(xié)議無法為具有各種不同通信和處理能力的車內(nèi)電子設(shè)備提供認(rèn)證。

附圖說明

并入本文并形成說明書的一部分的附圖示出了示例性實施例。

圖1是示出了用于認(rèn)證和支持異構(gòu)電子設(shè)備(例如，具有不同的通信和處理功能的車內(nèi)電子設(shè)備)之間的安全通信的系統(tǒng)的簡化框圖。

圖2a是示出了圖1的第一組車內(nèi)設(shè)備的通信和處理能力的能力框的圖示。

圖2b是示出了圖1的第二組車內(nèi)設(shè)備的通信和處理能力的能力框的圖示。

圖2c是示出了圖1的第三組車內(nèi)設(shè)備的通信和處理能力的能力框的圖示。

圖3是示出了相關(guān)聯(lián)的車輛內(nèi)具有若干不同的物理子網(wǎng)的網(wǎng)絡(luò)、以及使用由該網(wǎng)絡(luò)形成的一組安全通信群的簡化配置的示意圖。

圖4是示出了圖1的車內(nèi)設(shè)備的安全密鑰層級的簡化框圖。

圖5是示出了圖1的系統(tǒng)中具有雙向通信能力的選定設(shè)備的認(rèn)證和安全密鑰分發(fā)的示例過程的流程圖。

圖6是示出了圖5的流程圖中與具有雙向通信能力的設(shè)備相關(guān)的部分的簡化流程圖。

圖7是示出了圖1的系統(tǒng)中僅具有單向通信能力的選定設(shè)備的認(rèn)證和安全密鑰分發(fā)的示例過程的流程圖。

圖8是示出了使用安全通信群會話密鑰對消息進(jìn)行安全通信的功能框圖。

圖9是示出了其上可以實現(xiàn)示例性實施例的計算機(jī)系統(tǒng)的示例的框圖。

圖10a是示出了使用鄰居到鄰居安全通信模式的、經(jīng)由圖1的系統(tǒng)的內(nèi)部交換機(jī)和網(wǎng)關(guān)的電子設(shè)備之間的安全消息交換的流程圖。

圖10b是示出了使用終端到終端安全通信模式的、經(jīng)由圖1的系統(tǒng)的內(nèi)部交換機(jī)和網(wǎng)關(guān)的電子設(shè)備之間的安全消息交換的流程圖。

圖11a是示出了使用鄰居到鄰居或跳到跳安全通信模式的、圖1的系統(tǒng)的車內(nèi)設(shè)備與相關(guān)聯(lián)的外部設(shè)備之間的安全消息交換的流程圖。

圖11b是示出了使用終端到終端安全通信模式的、圖1的系統(tǒng)的車內(nèi)設(shè)備與相關(guān)聯(lián)的外部設(shè)備之間的安全消息交換的流程圖。

圖11c是示出了使用具有可選的加密的終端到終端安全通信模式的、圖1的系統(tǒng)的車內(nèi)設(shè)備與相關(guān)聯(lián)的外部設(shè)備之間的安全消息交換的流程圖。

具體實施方式

概述

下文呈現(xiàn)了對示例性實施例的簡化概述，以提供對示例性實施例的一些方面的基本理解。這種概述不是對示例性實施例的外延性綜述。它既不旨在標(biāo)識示例性實施例的關(guān)鍵或重要元素，也不描繪所附權(quán)利要求的范圍。其唯一的目的是提出示例性實施例的一些概念，以簡化的形式作為稍后呈現(xiàn)的更詳細(xì)描述的前序。

總體而言，根據(jù)本文實施例的實施例，裝置、方法和編碼在一個或多個有形非暫態(tài)計算機(jī)可讀介質(zhì)中用于由處理器執(zhí)行的邏輯，并且當(dāng)被處理器執(zhí)行時，邏輯、裝置和方法可操作以對車內(nèi)設(shè)備(其具有不同(潛在地很大不同)的計算和通信能力)進(jìn)行本地認(rèn)證和協(xié)調(diào)安全密鑰的分發(fā)，從而支持包括具有相異能力的設(shè)備(例如，僅能執(zhí)行對稱密鑰加密操作而不能執(zhí)行公鑰算法的設(shè)備、僅能發(fā)送但不能接收數(shù)據(jù)的設(shè)備、不支持互聯(lián)網(wǎng)協(xié)議(IP)的設(shè)備、以及支持復(fù)雜的安全算法和基于IP的安全協(xié)議的設(shè)備)的網(wǎng)絡(luò)。本文的實施例允許車內(nèi)設(shè)備使用與其本身的具體能力相匹配的不同個性化認(rèn)證和安全通信方法，此外本文的實施例還支持附接到不同類型的車載和/或非車載網(wǎng)絡(luò)(例如CAN、LIN、MOST和以太網(wǎng))的設(shè)備。

根據(jù)本文示例性實施例，裝置、方法和編碼在一個或多個有形非暫態(tài)計算機(jī)可讀介質(zhì)中用于由處理器執(zhí)行的邏輯，并且當(dāng)被處理器執(zhí)行時，邏輯、裝置和方法可操作來通過網(wǎng)關(guān)裝置的通信端口經(jīng)由第一網(wǎng)絡(luò)類型的相關(guān)聯(lián)的第一通信網(wǎng)絡(luò)與具有第一安全通信能力的第一相關(guān)聯(lián)的設(shè)備進(jìn)行通信，并且通過網(wǎng)關(guān)裝置的通信端口經(jīng)由第二網(wǎng)絡(luò)類型的相關(guān)聯(lián)的第二通信網(wǎng)絡(luò)與具有第二安全通信能力的第二相關(guān)聯(lián)的設(shè)備進(jìn)行通信，其中第二網(wǎng)絡(luò)類型不同于第一網(wǎng)絡(luò)類型并且述第二安全通信能力不同于第一安全通信能力。由網(wǎng)關(guān)邏輯選擇性地將第一相關(guān)聯(lián)的設(shè)備認(rèn)證為第一安全通信群(SCG)的群成員。由網(wǎng)關(guān)邏輯選擇性地將第二相關(guān)聯(lián)的設(shè)備認(rèn)證為第一SCG的群成員。由網(wǎng)關(guān)邏輯選擇性地將安全通信群密鑰(SCGK)傳輸?shù)骄哂械谝话踩ㄐ拍芰Φ牡谝幌嚓P(guān)聯(lián)的設(shè)備、以及傳輸?shù)骄哂械诙踩ㄐ拍芰Φ牡诙嚓P(guān)聯(lián)的設(shè)備，以用于由第一相關(guān)聯(lián)的設(shè)備和第二相關(guān)聯(lián)的設(shè)備根據(jù)第一SCG中第一相關(guān)聯(lián)的設(shè)備和第二相關(guān)聯(lián)的設(shè)備的群成員身份生成會話密鑰用于彼此的安全通信。

仍進(jìn)一步地，根據(jù)本文的示例性實施例，網(wǎng)關(guān)設(shè)備支持異構(gòu)電子設(shè)備之間差異化的安全通信。網(wǎng)關(guān)裝置包括：第一通信端口、以及與第一通信端口操作地耦接的網(wǎng)關(guān)邏輯。第一通信端口被配置為通過第一網(wǎng)絡(luò)類型的相關(guān)聯(lián)的第一通信網(wǎng)絡(luò)與具有第一安全通信能力的第一相關(guān)聯(lián)的設(shè)備進(jìn)行通信。第一通信端口還被配置為通過第二網(wǎng)絡(luò)類型的相關(guān)聯(lián)的第二通信網(wǎng)絡(luò)與具有第二安全通信能力的第二相關(guān)聯(lián)的設(shè)備進(jìn)行通信，其中第二網(wǎng)絡(luò)類型不同于第一網(wǎng)絡(luò)類型并且第二安全通信能力不同于第一安全通信能力。網(wǎng)關(guān)邏輯選擇性地將所述第一相關(guān)聯(lián)的設(shè)備認(rèn)證為第一安全通信群(SCG)的群成員，并且還選擇性地將第二相關(guān)聯(lián)的設(shè)備認(rèn)證為第一SCG的群成員。網(wǎng)關(guān)邏輯選擇性地將安全通信群密鑰(SCGK)傳輸?shù)骄哂械谝话踩ㄐ拍芰Φ牡谝幌嚓P(guān)聯(lián)的設(shè)備、以及傳輸?shù)骄哂械诙踩ㄐ拍芰Φ牡诙嚓P(guān)聯(lián)的設(shè)備，以用于由第一相關(guān)聯(lián)的設(shè)備和第二相關(guān)聯(lián)的設(shè)備根據(jù)第一SCG中第一相關(guān)聯(lián)的設(shè)備和第二相關(guān)聯(lián)的設(shè)備的群成員身份生成會話密鑰用于彼此的安全通信。

具體實施方式的詳細(xì)描述

本說明書提供并不旨在限制所附權(quán)利要求的范圍的示例。附圖通常指示示例的特性，其中應(yīng)理解和明白的是，相同標(biāo)號用于指代相同元件。說明書中對“一個實施例”或“實施例”或“示例性實施例”的提及意味著所描述的特定特征、結(jié)構(gòu)或特性被包括在本文所描述的至少一個實施例中，并且不意味著該特征、結(jié)構(gòu)或特性存在于本文所述的所有實施例中。

與現(xiàn)在參照附圖，其中圖示是出于說明示例性實施例的目的，而不是出于對其進(jìn)行限制的目的。圖1示出了布置在相關(guān)車輛10中的裝置100，該裝置100用于支持具有不等的通信能力的多個相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備150之間差異化的安全通信。在示例性實施例中，裝置100包括：第一通信端口110，被配置為經(jīng)由相關(guān)聯(lián)的通信網(wǎng)絡(luò)140與多個相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備150進(jìn)行通信；第二通信端口120，被配置為經(jīng)由相關(guān)聯(lián)的認(rèn)證網(wǎng)絡(luò)142與相關(guān)聯(lián)的認(rèn)證處理器190進(jìn)行通信；以及通信網(wǎng)關(guān)和認(rèn)證代理邏輯130，可操作地與第一和第二通信端口110、120耦接。如本文所使用的“邏輯”和/或“模塊”，包括但不限于硬件、固件、軟件和/或每個的組合，以執(zhí)行(一個或多個)功能或(一個或多個)動作，和/或引起來自另一組件的功能或動作。例如，基于所期望的應(yīng)用或需要，邏輯可以包括軟件控制的微處理器、諸如專用集成電路(“ASIC”)之類的離散邏輯、片上系統(tǒng)(“SoC”)、片上可編程系統(tǒng)(“PSoC”)、可編程/編程邏輯器件、包含指令的存儲器設(shè)備或類似設(shè)備、或體現(xiàn)在硬件上的組合邏輯。邏輯也可以完全體現(xiàn)為存儲在非暫態(tài)有形介質(zhì)上的軟件，當(dāng)由處理器執(zhí)行時其執(zhí)行所描述的功能。邏輯可適當(dāng)?shù)匕ㄒ粋€或多個模塊，被配置為執(zhí)行一個或多個功能。

根據(jù)本文的實施例，裝置100被配置為本地認(rèn)證并且選擇性地分發(fā)安全通信密鑰給具有很大不同的計算和通信能力的車內(nèi)設(shè)備152。車內(nèi)設(shè)備152包括：諸如簡單傳感器或類似設(shè)備之類的只能發(fā)送但不能接收的設(shè)備、僅能夠執(zhí)行對稱密鑰加密操作而不能執(zhí)行公鑰算法的設(shè)備、不支持IP協(xié)議的設(shè)備、支持復(fù)雜的安全算法和基于IP的安全協(xié)議的設(shè)備。此外，裝置100被配置為使用與各種設(shè)備152的相應(yīng)功能相匹配的不同認(rèn)證方法來本地認(rèn)證車內(nèi)設(shè)備。再進(jìn)一步地，裝置100被配置為本地認(rèn)證并且選擇性地分發(fā)安全通信密鑰給能夠接收信息并且可附接到不同物理類型的網(wǎng)絡(luò)(包括相關(guān)聯(lián)的通信網(wǎng)絡(luò)140，例如CAN、LIN、MOST和以太網(wǎng))的車內(nèi)設(shè)備152。根據(jù)示例性實施例，對車內(nèi)設(shè)備152進(jìn)行分類以允許具有不同能力的設(shè)備基于其通信和加密處理能力來使用不同的認(rèn)證以及通信密鑰使用和分發(fā)程序，如圖1所示。

示例性實施例中的第一組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備160(“B型”設(shè)備)具有第一認(rèn)證和安全通信能力，其中第一組160的車內(nèi)電子設(shè)備具有雙向通信能力且僅能夠支持對稱密鑰加密。裝置100使用相關(guān)聯(lián)的通信網(wǎng)絡(luò)140經(jīng)由第一通信端口110與第一組設(shè)備160進(jìn)行可操作地通信。類似地，示例性實施例中的第二組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備170(“C型”設(shè)備)具有第二認(rèn)證和安全通信能力，其中第二組170的車內(nèi)電子設(shè)備可以發(fā)送但不能接收消息且僅能夠支持對稱密鑰加密。裝置100使用相關(guān)聯(lián)的通信網(wǎng)絡(luò)140經(jīng)由第一通信端口110與第二組設(shè)備170進(jìn)行可操作地通信。在示例性實施例中，第二組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備(C型)的設(shè)備是，例如簡單電子傳感器設(shè)備或類似設(shè)備，僅能夠傳輸代表所感測的參數(shù)的度量的加密消息。包含測量或其它數(shù)據(jù)的消息可以出于安全或其它原因，在使用數(shù)字簽名等等發(fā)送消息之前，由第二組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備170的設(shè)備來簽署。最后在示例性實施例中，第三組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備180(“A型”設(shè)備)具有第三認(rèn)證和安全通信能力，其中第三組180的車內(nèi)電子設(shè)備具有雙向通信能力且能夠支持公開密鑰和對稱密鑰密碼兩者。裝置100使用相關(guān)聯(lián)的通信網(wǎng)絡(luò)140經(jīng)由第一通信端口110與第三組設(shè)備180進(jìn)行可操作地通信。

總體上，第一通信端口110從一個或多個網(wǎng)絡(luò)設(shè)備152接收包括認(rèn)證請求數(shù)據(jù)146的信號144，該認(rèn)證請求數(shù)據(jù)146代表對認(rèn)證的請求。信號還可以包括安全密鑰，該安全密鑰從一個或多個車內(nèi)設(shè)備152傳輸，以用于由網(wǎng)關(guān)邏輯130選擇性地分發(fā)給其他車內(nèi)設(shè)備152。認(rèn)證代理和網(wǎng)關(guān)邏輯130基于根據(jù)相關(guān)聯(lián)的請求設(shè)備的認(rèn)證能力的認(rèn)證請求數(shù)據(jù)來選擇性地對網(wǎng)絡(luò)設(shè)備152進(jìn)行認(rèn)證。一旦通過認(rèn)證，設(shè)備就能夠與其它認(rèn)證設(shè)備共享安全密鑰，并且還可以從網(wǎng)關(guān)邏輯接收其它先前認(rèn)證設(shè)備的安全密鑰。認(rèn)證代理邏輯根據(jù)認(rèn)證-請求設(shè)備的特定通信和處理能力來對其認(rèn)證和密鑰分配響應(yīng)進(jìn)行調(diào)適。對于一些設(shè)備(例如僅能夠傳輸經(jīng)簽名或以其它方式加密的代表所感測的參數(shù)的度量的消息的第二組(C型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備)，例如如果設(shè)備尚未經(jīng)認(rèn)證，則認(rèn)證代理邏輯截取消息并將其作為認(rèn)證請求來解釋。響應(yīng)于認(rèn)證代理邏輯基于根據(jù)請求設(shè)備的特定認(rèn)證能力的認(rèn)證請求數(shù)據(jù)對網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證，認(rèn)證代理和網(wǎng)關(guān)邏輯選擇性地生成加密密鑰集。此后，認(rèn)證代理邏輯將加密密鑰集選擇性地分發(fā)到選定的一個或多個網(wǎng)絡(luò)設(shè)備。

除上述以外，在示例性實施例中，響應(yīng)于認(rèn)證代理邏輯130未能對與認(rèn)證-請求相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備進(jìn)行本地認(rèn)證，認(rèn)證代理邏輯130一般選擇性地通過第二通信端口120經(jīng)由相關(guān)聯(lián)的認(rèn)證網(wǎng)絡(luò)142將認(rèn)證請求數(shù)據(jù)146轉(zhuǎn)發(fā)到相關(guān)聯(lián)的認(rèn)證處理器190。響應(yīng)于相關(guān)聯(lián)的認(rèn)證處理器190對與認(rèn)證-請求相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證，認(rèn)證代理邏輯130選擇性地通過第二通信端口120經(jīng)由相關(guān)聯(lián)的認(rèn)證網(wǎng)絡(luò)142接收第一加密密鑰集148。此后，認(rèn)證代理邏輯130選擇性地將第一加密密鑰集148分發(fā)到適當(dāng)?shù)囊粋€或多個相關(guān)聯(lián)的車內(nèi)網(wǎng)絡(luò)設(shè)備150。

在特定示例性實施例中，繼續(xù)參考圖1，第一通信端口110從具有第一認(rèn)證和安全通信能力的第一組網(wǎng)絡(luò)設(shè)備160中的至少一個166接收第一信號162，并且從具有第二認(rèn)證和安全通信能力(其不同于第一認(rèn)證和安全通信能力)的第二組網(wǎng)絡(luò)設(shè)備170中的至少一個176接收第二信號172，第一信號162包括代表對認(rèn)證的請求的第一認(rèn)證請求數(shù)據(jù)164并且第二信號172包括代表對認(rèn)證的請求的第二認(rèn)證請求數(shù)據(jù)174。認(rèn)證代理邏輯130基于根據(jù)第一認(rèn)證和安全通信能力的第一認(rèn)證請求數(shù)據(jù)164來選擇性地認(rèn)證第一組網(wǎng)絡(luò)設(shè)備160中的至少一個166，并且基于根據(jù)第二認(rèn)證和安全通信能力(其不同于第一認(rèn)證和安全通信能力)的第二認(rèn)證請求數(shù)據(jù)174來選擇性地認(rèn)證第二組網(wǎng)絡(luò)設(shè)備170中的至少一個176。

在示例性實施例中，由于第二組網(wǎng)絡(luò)設(shè)備170僅能夠發(fā)送但無法接收消息但能夠支持對稱密鑰加密，示例性實施例的認(rèn)證代理和網(wǎng)關(guān)邏輯130選擇性地將第一加密密鑰集168分發(fā)給第一組網(wǎng)絡(luò)設(shè)備160，并且還選擇性地將第二加密密鑰集178分發(fā)給第一組網(wǎng)絡(luò)設(shè)備160。由于第一和第二加密密鑰集168、178對第三組網(wǎng)絡(luò)設(shè)備180與第一和第二組網(wǎng)絡(luò)設(shè)備160、170進(jìn)行通信可能是必要的或期望的，示例性實施例的認(rèn)證代理邏輯130還選擇性地將述第一和第二加密密鑰集168、178分發(fā)給第三組網(wǎng)絡(luò)設(shè)備180。在示例性實施例中，認(rèn)證代理和網(wǎng)關(guān)邏輯130將第一和第二加密密鑰集168、178存儲在非暫態(tài)存儲器中(圖9)。

除了上述之外，在示例性實施例中，響應(yīng)于認(rèn)證代理邏輯130未能基于根據(jù)第一認(rèn)證和安全通信能力的第一認(rèn)證請求數(shù)據(jù)164來本地認(rèn)證第一組網(wǎng)絡(luò)設(shè)備160中的至少一個166，認(rèn)證代理邏輯130選擇性地通過第二通信端口120經(jīng)由相關(guān)聯(lián)的認(rèn)證網(wǎng)絡(luò)142將第一認(rèn)證請求數(shù)據(jù)164轉(zhuǎn)發(fā)到相關(guān)聯(lián)的認(rèn)證處理器190。響應(yīng)于相關(guān)聯(lián)的認(rèn)證處理器190基于第一認(rèn)證請求數(shù)據(jù)164認(rèn)證第一組網(wǎng)絡(luò)設(shè)備160中的至少一個166，認(rèn)證代理邏輯130選擇性地通過第二通信端口120經(jīng)由相關(guān)聯(lián)的認(rèn)證網(wǎng)絡(luò)142接收第一加密密鑰集168′。此后，認(rèn)證代理邏輯130選擇性地將所接收的第一加密密鑰集168′分發(fā)給第一組網(wǎng)絡(luò)設(shè)備160。

除了上述之外，進(jìn)一步地，在示例性實施例中，響應(yīng)于認(rèn)證代理邏輯130未能基于根據(jù)第二認(rèn)證和安全通信能力的第二認(rèn)證請求數(shù)據(jù)174來本地認(rèn)證第二組網(wǎng)絡(luò)設(shè)備170中的至少一個176，認(rèn)證代理邏輯130選擇性地通過第二通信端口120經(jīng)由相關(guān)聯(lián)的認(rèn)證網(wǎng)絡(luò)142將第二認(rèn)證請求數(shù)據(jù)174轉(zhuǎn)發(fā)到相關(guān)聯(lián)的認(rèn)證處理器190。響應(yīng)于相關(guān)聯(lián)的認(rèn)證處理器190基于第二認(rèn)證請求數(shù)據(jù)174認(rèn)證第二組網(wǎng)絡(luò)設(shè)備170中的至少一個176，認(rèn)證代理邏輯130選擇性地通過第二通信端口120經(jīng)由相關(guān)聯(lián)的認(rèn)證網(wǎng)絡(luò)142接收第二加密密鑰集178′。此后，認(rèn)證代理邏輯130選擇性地將所接收的第二加密密鑰集178′分發(fā)給第一組網(wǎng)絡(luò)設(shè)備160。第二加密密鑰集178′是不分發(fā)給第二組網(wǎng)絡(luò)設(shè)備170，這是因為如上所述的，在示例性實施例中，第二組網(wǎng)絡(luò)設(shè)備170都僅能夠發(fā)送但不接收消息。在示例性實施例中，由于第二加密密鑰集178′對第三組網(wǎng)絡(luò)設(shè)備180與第一和第二組網(wǎng)絡(luò)設(shè)備160、170進(jìn)行通信可能是必要的或期望的，認(rèn)證代理邏輯130也可選擇性地將第二加密密鑰集178′分發(fā)給第三組網(wǎng)絡(luò)設(shè)備180。

如上所述，示例性實施例中的第一組(B型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備的160全部具有第一認(rèn)證能力，其中的第一組160的車內(nèi)電子設(shè)備具有雙向通信功能并且僅能夠支持對稱密鑰加密。圖2a示出了定義第一組設(shè)備160的能力(例如，處理和通信能力)的第一組設(shè)備160的能力框210。第一組設(shè)備160的能力框210包括處理和通信能力的第一層集合220，以及處理和通信能力的第二層集合230。在示例性實施例中，處理和通信能力的第一層集合220包括消息完整性以及機(jī)密性保護(hù)處理和通信能力222。另外在實施例中，能力的第二層集合230包括：用于使用預(yù)配置的私鑰232與其它設(shè)備進(jìn)行認(rèn)證的處理和通信能力、用于建立與其它設(shè)備234的對稱的完整性和機(jī)密性密鑰的處理和通信能力、以及用于執(zhí)行虛擬局域網(wǎng)(VLAN)功能236的處理和通信能力。

類似地，示例性實施例中的第二組(C型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備170全部具有第二認(rèn)證和安全的通信能力，其中第二組170的車內(nèi)電子設(shè)備可以發(fā)送但不能接收消息并且僅能夠支持對稱密鑰加密。在示例性實施例中，第二組(C型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備170可以是簡單傳感器設(shè)備或類似設(shè)備，其能夠例如傳輸代表對所感測的參數(shù)(例如，車輛速度、加速度或高度)的度量的加密消息。圖2b示出了定義第二組設(shè)備170的能力(例如，處理和通信能力)的第二組設(shè)備170的能力框240。第二組設(shè)備170的能力框240包括第一組設(shè)備160的處理和通信能力的第一層集合220。在示例性實施例中，處理和通信能力的第一層集合220包括消息完整性以及機(jī)密性保護(hù)處理和通信能力222。盡管在示例性實施例中處理和通信能力的第一層集合220在第一和第二組網(wǎng)絡(luò)設(shè)備160、170之間是相同的，但是在其它實施例中它們可以是不同的。

最后，示例性實施例中的第三組(A型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備180全部具有第三認(rèn)證和安全的通信能力，其中第三組180的車內(nèi)電子設(shè)備可以具有雙向通信功能且能夠支持公開密鑰和對稱密鑰加密兩者。如圖2c所示，示出了定義第三組設(shè)備180的能力(例如，處理和通信能力)的第三組設(shè)備180的能力框250。第三組設(shè)備180的能力框250包括：第一和第二組網(wǎng)絡(luò)設(shè)備160、170的處理和通信能力的第一層集合220，第二組網(wǎng)絡(luò)設(shè)備170的設(shè)備的處理和通信能力的第二層集合230(對第一組網(wǎng)絡(luò)設(shè)備160不可用)，以及對第一和第二組網(wǎng)絡(luò)設(shè)備160、170不可用的處理和通信能力的第三層集合260。在示例性實施例中，處理和通信能力的第三層集合260包括：使用數(shù)字證書進(jìn)行認(rèn)證的處理和通信能力262、訪問控制處理和通信能力264、威脅防御處理和通信能力的266、車載認(rèn)證處理和通信能力268、以及車載密鑰服務(wù)器處理和通信能力270。盡管在示例性實施例中處理和通信能力的第一、第二層集合220和230在第二和第三組網(wǎng)絡(luò)設(shè)備170、180之間是相同的，但是在其它實施例中它們可以是不同的。

圖3是示出了在車輛內(nèi)具有若干子網(wǎng)302、304、306和308的網(wǎng)絡(luò)300的簡化配置的示意性圖示，其中第三組網(wǎng)絡(luò)設(shè)備180中選定的一個310在功能上可根據(jù)上文結(jié)合圖1描述的裝置100(圖1)的能力來進(jìn)行操作，以用于認(rèn)證具有不等通信能力的多個相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備。所示出的實施例展示了示出這樣的方式的示例：以這種方式，相關(guān)聯(lián)的車輛10內(nèi)的不同的電子設(shè)備可以被實現(xiàn)為用于提供對具有不同通信和處理能力的車內(nèi)網(wǎng)絡(luò)設(shè)備的認(rèn)證的不同類型的車載網(wǎng)絡(luò)設(shè)備。特別地，在所示的示例中，第三組網(wǎng)絡(luò)設(shè)備180中選定的一個310在功能上可根據(jù)上文結(jié)合圖1描述為連接的車輛網(wǎng)關(guān)的裝置100的能力來進(jìn)行操作，以用于對具有不等通信和安全通信能力的多個相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證，以及選擇性地將網(wǎng)絡(luò)安全密鑰分發(fā)給需要或期望支持具有不等通信能力的多個相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備150之間差異化的安全通信的設(shè)備。在示出的示例性實施例中，第一子網(wǎng)302是局部同構(gòu)的，并且包括相關(guān)聯(lián)的車輛10的電子控制單元(ECU)320，其中ECU 320與所連接的車輛網(wǎng)關(guān)設(shè)備310可操作地通信，并且其中網(wǎng)絡(luò)設(shè)備310是第三組網(wǎng)絡(luò)設(shè)備180中的一員。第二、第三和第四子網(wǎng)304、306和308可操作地與所連接的車輛網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備310耦接，并且每個分別包括內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備330、340和350。但應(yīng)理解，根據(jù)示例，內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備330、340和350可以被實現(xiàn)為從第一或第三組網(wǎng)絡(luò)設(shè)備160或180中選擇的一個或多個設(shè)備。此外，相關(guān)聯(lián)的車輛10內(nèi)的每個子系統(tǒng)或網(wǎng)絡(luò)域302、304、306和308可以包含從第一、第二或第三組網(wǎng)絡(luò)設(shè)備160、170或180中選擇的設(shè)備的任意組合。

在圖3所示的示例性實施例中，第二子網(wǎng)304是局部同構(gòu)的CAN、LIN或其它網(wǎng)絡(luò)，并且包括具有第三組網(wǎng)絡(luò)設(shè)備180的通信和處理能力的第一ECU 332、具有第一組網(wǎng)絡(luò)設(shè)備160的通信和處理能力的第二ECU334、以及具有第一組網(wǎng)絡(luò)設(shè)備160的通信和處理能力的第三ECU 336。類似地，第三子網(wǎng)306是局部同構(gòu)的CAN、LIN或其它網(wǎng)絡(luò)，并且包括具有第一組網(wǎng)絡(luò)設(shè)備160的通信和處理能力的第一ECU 342、具有第二組網(wǎng)絡(luò)設(shè)備170的通信和處理能力的第二ECU 344、以及具有第二組網(wǎng)絡(luò)設(shè)備170的通信和處理能力的第三ECU 346。最后，在圖3所示的示例性實施例中，第四子網(wǎng)308是以太網(wǎng)網(wǎng)絡(luò)，并且包括具有第三組網(wǎng)絡(luò)設(shè)備180的通信和處理能力的第一ECU 352、具有第二組網(wǎng)絡(luò)設(shè)備170的通信和處理能力的第二ECU 354、以及具有第二組網(wǎng)絡(luò)設(shè)備170的通信和處理能力的第三ECU 356。

根據(jù)本文的實施例，關(guān)于安全密鑰管理，會話密鑰的集合被開發(fā)并被存儲在網(wǎng)關(guān)設(shè)備310的非暫態(tài)存儲器中，并且由網(wǎng)關(guān)設(shè)備選擇性地分發(fā)給相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備150。用于保護(hù)要從x型設(shè)備傳輸?shù)統(tǒng)型設(shè)備的數(shù)據(jù)的會話密鑰在本文將稱為“X到Y(jié)會話密鑰”或“X到Y(jié)密鑰。X到Y(jié)密鑰可被允許不同于Y到X密鑰。例如，較大的密鑰可以用于第三組網(wǎng)絡(luò)設(shè)備180(A型)中的設(shè)備之間，而不是第一組網(wǎng)絡(luò)設(shè)備160(B型)中的設(shè)備之間。在一個實施例中，某些B型設(shè)備的B到A會話密鑰可以比其它B型設(shè)備的B到A會話密鑰更大，以允許來自選定的B型設(shè)備的消息相較來自其它B型設(shè)備的消息具有更高的保護(hù)級別。

在示例性實施例中，每個設(shè)備預(yù)配置有用來引導(dǎo)其安全操作的一組永久密鑰。這些永久密鑰可以是，例如針對第三組(A型)網(wǎng)絡(luò)設(shè)備180的一組公-私密鑰對和它們的證書、以及針對其它類型的設(shè)備的一組專用主私鑰。在實施例中，每個設(shè)備還可以配備有認(rèn)證令牌，其中在示例性實施例中，認(rèn)證令牌是設(shè)備可以用來向車載認(rèn)證代理邏輯130認(rèn)證其自身的加密的數(shù)據(jù)對象。

根據(jù)本文的實施例，多個車內(nèi)設(shè)備選擇性地形成一個或多個安全通信群，并使用一個或多個對應(yīng)群密鑰的公共集來生成其用于確保每個相應(yīng)安全通信群內(nèi)的通信的安全的會話密鑰。第三組(A型)網(wǎng)絡(luò)設(shè)備180中的設(shè)備的群密鑰包含用于生成A到A、A到B、B到A、和C到A密鑰的密鑰。第一組(B型)網(wǎng)絡(luò)設(shè)備160中的設(shè)備的群密鑰包含用于生成B到A、A到B、和B到B密鑰的密鑰。最后，第二組(C型)網(wǎng)絡(luò)設(shè)備170中的設(shè)備包含用于生成C到A、和C到B會話密鑰的密鑰。

根據(jù)本文的實施例，作為成功的設(shè)備認(rèn)證的結(jié)果，設(shè)備建立各自的群密鑰。不同類型的設(shè)備可以使用不同的方法來建立根據(jù)設(shè)備的能力的群密鑰。例如，第三組(A型)網(wǎng)絡(luò)設(shè)備180中的設(shè)備可以使用基于密鑰建立協(xié)議的公共密鑰。第一組(B型)網(wǎng)絡(luò)設(shè)備160中的設(shè)備可以使用預(yù)配置的私鑰和對稱密鑰加密來建立群密鑰，或者它們可以由所連接的車輛網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備310的車載密鑰服務(wù)器部分100給予群密鑰。最后，第二組(C型)網(wǎng)絡(luò)設(shè)備170中的設(shè)備可以預(yù)配置有群密鑰。

為了建立安全通信，每個設(shè)備需要獲知其每個通信對象的會話密鑰。根據(jù)本文的示例性實施例，消除了對明確的對象發(fā)現(xiàn)協(xié)議的需求，并且消除了設(shè)備執(zhí)行與每個單獨通信對象的密鑰建立的要求；而不是每個設(shè)備首先發(fā)現(xiàn)其通信對象，并且隨后執(zhí)行與每個對象的密鑰一致性協(xié)議以建立會話密鑰(其要求每個設(shè)備實現(xiàn)對象發(fā)現(xiàn)協(xié)議，并且執(zhí)行與每個對象的密鑰建立協(xié)議，這對于具有受到較高限制的計算和通信能力的許多車內(nèi)設(shè)備是不可實現(xiàn)的)。相反，根據(jù)本文的示例性實施例，作為用所連接的車輛網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備310的車載密鑰服務(wù)器部分100進(jìn)行認(rèn)證的結(jié)果，每個設(shè)備建立群密鑰并且使用群密鑰來本地生成和更新其會話密鑰。所連接的車輛網(wǎng)關(guān)網(wǎng)絡(luò)設(shè)備310的車載密鑰服務(wù)器部分100從一個或多個非車載認(rèn)證服務(wù)器190獲得C到B會話密鑰和C到A會話密鑰，并且將這些密鑰分發(fā)給需要從第二組(C型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備170接收消息的相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備180、160。

根據(jù)本文的實施例，首先通過對具有不等能力(例如，具有不同的通信和處理能力)的車內(nèi)設(shè)備進(jìn)行認(rèn)證，來提供異構(gòu)電子設(shè)備之間差異化的安全通信。在示例性實施例中，所連接的車輛網(wǎng)關(guān)設(shè)備310可操作以用作車載認(rèn)證代理邏輯130(圖1)并且包括用于認(rèn)證其它車內(nèi)設(shè)備的車載密鑰服務(wù)器邏輯，并且充當(dāng)車輛與外部網(wǎng)絡(luò)的接口。車輛上原始連接的車輛網(wǎng)關(guān)由設(shè)備或車輛制造商在設(shè)備或車輛制造過程中認(rèn)證。安裝在車輛上新連接的車輛網(wǎng)關(guān)設(shè)備310可以或者是預(yù)認(rèn)證的、或者是當(dāng)其能訪問非車載認(rèn)證服務(wù)器時由該非車載認(rèn)證服務(wù)器認(rèn)證的。作為成功認(rèn)證的結(jié)果，所連接的車輛網(wǎng)關(guān)設(shè)備310獲取它將需要用來與其它車內(nèi)設(shè)備進(jìn)行通信的以及提供車載認(rèn)證代理和車載密鑰服務(wù)器功能的所有安全材料。

根據(jù)本文的實施例，屬于第三組(A型)網(wǎng)絡(luò)設(shè)備180的設(shè)備由所連接的車輛網(wǎng)關(guān)設(shè)備310上的車載認(rèn)證代理進(jìn)行認(rèn)證。針對第三組(A型)網(wǎng)絡(luò)設(shè)備180的安全通信密鑰存儲在所連接的車輛網(wǎng)關(guān)設(shè)備310的非暫態(tài)存儲器中。由于相較第一和第二組網(wǎng)絡(luò)設(shè)備160、170，屬于第三組(A型)網(wǎng)絡(luò)設(shè)備180的設(shè)備是強(qiáng)大的設(shè)備，它們可以根據(jù)需要或期望來使用任何標(biāo)準(zhǔn)認(rèn)證協(xié)議和算法與所連接的車輛的網(wǎng)關(guān)設(shè)備310進(jìn)行認(rèn)證。

根據(jù)本文的實施例，建立一個或多個SCG 360從而允許具有各異的處理和通信能力的設(shè)備以不同的安全水平和風(fēng)險水平彼此安全地通信。

總體而言，本文的實施例提供了一種使得一群或多群不同類型的設(shè)備(包括僅發(fā)送但不接收消息的設(shè)備、不運行IP協(xié)議的設(shè)備)能夠使用不同的認(rèn)證機(jī)制來對它們自身進(jìn)行認(rèn)證，并且依據(jù)每個相應(yīng)設(shè)備的認(rèn)證和安全通信能力使用不同尺寸和/或復(fù)雜性的密鑰來對在彼此之間傳輸?shù)南⑦M(jìn)行加密。在本文的實施例中，為了使得每個設(shè)備的加密密鑰流量不需要源自中央密鑰服務(wù)器(這由此要求中央密鑰服務(wù)器總是可用的)，一旦其認(rèn)證成功就在每個設(shè)備上建立中間群密鑰或“網(wǎng)絡(luò)不可知安全通信群密鑰”(NA-SCGK)。由此被建立的NA-SCGK隨后由設(shè)備用來生成其各自的個體臨時完整性和機(jī)密性密鑰，以用于對來自設(shè)備的出站流量進(jìn)行簽名和加密。這確保了整個系統(tǒng)100的安全措施將繼續(xù)保持有效，即使當(dāng)車載密鑰服務(wù)器310不可用時也是如此。

參考圖3，如所指出的，示出的網(wǎng)絡(luò)300在相關(guān)聯(lián)的車輛10內(nèi)具有一些分離的同構(gòu)子網(wǎng)302、304、306和308，其中第三組網(wǎng)絡(luò)設(shè)備180中選定的一個310在功能上可根據(jù)上文結(jié)合圖1描述的裝置100(圖1)的能力來進(jìn)行操作，以用于認(rèn)證具有不等通信能力的多個相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備。所示出的實施例展示了示出這樣的方式的示例：以這種方式，建立一個或多個SCG 360從而允許具有各異的處理和通信能力的設(shè)備以不同的安全水平和風(fēng)險水平彼此安全地通信。特別地，一個或多個SCG 360包括：跨第二局域同構(gòu)子網(wǎng)304、網(wǎng)關(guān)設(shè)備310、和外部相關(guān)聯(lián)的設(shè)備301的第一SCG 362；跨第四局域同構(gòu)子網(wǎng)308、網(wǎng)關(guān)設(shè)備310、和第二局域同構(gòu)子網(wǎng)304的內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備330的第二SCG 364；以及跨第二局域同構(gòu)子網(wǎng)304的內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備330、網(wǎng)關(guān)設(shè)備310、和第四局域同構(gòu)子網(wǎng)308的內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備350的第三SCG 366。

根據(jù)本文的實施例，SCG 360中的每個包括經(jīng)驗證并被授權(quán)以彼此安全地通信的相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備。此外，SCG 360以導(dǎo)向有益性質(zhì)(例如，每個SCG 362、364、366可包含下述設(shè)備的任意組合：第一組(B型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備160的設(shè)備、第二組(C型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備170的設(shè)備、和/或第三組(A型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備180的設(shè)備)的方式起作用。除了上述以外，SCG 360基于這些設(shè)備固有的強(qiáng)通信和處理能力，通常包括來自第三組(A型)相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備180的至少一個設(shè)備。

此外，任意SCG 360可以包含相對于相關(guān)聯(lián)的車輛10的車載相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備，以及相對于相關(guān)聯(lián)的車輛10的非車載相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備。例如，第一SCG 362跨第二子網(wǎng)304、網(wǎng)關(guān)設(shè)備310和外部相關(guān)聯(lián)的設(shè)備301。

再進(jìn)一步地，任意單個SCG 360內(nèi)的相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備選擇性地與彼此進(jìn)行通信，而無論相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備是第一組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備160的、第二組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備170的、還是第三組180相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備的設(shè)備。此外，根據(jù)實施例，任意單個SCG 360內(nèi)的相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備使用不同水平的安全保護(hù)選擇性地與彼此進(jìn)行通信，而無論相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備是第一組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備160的、第二組相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備170的、還是第三組180相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備的設(shè)備。

更進(jìn)一步地，根據(jù)本文的實施例，SCG 360獨立于底層網(wǎng)絡(luò)類型和配置。在這點上，如上文在圖3所示的實施例中所說明的，第二SCG 364跨第二子網(wǎng)304(其在示例中作為CAN、LIN、或其它網(wǎng)絡(luò)類型來配置)、第四子網(wǎng)308(其在示例中作為以太網(wǎng)絡(luò)來配置)。因此總體上，相同SCG 360中的相關(guān)聯(lián)的電子設(shè)備可以在不同的物理網(wǎng)絡(luò)上或在不同的物理網(wǎng)絡(luò)中、或者可以在異構(gòu)物理網(wǎng)絡(luò)上或在異構(gòu)物理網(wǎng)絡(luò)中。

更進(jìn)一步地，根據(jù)本文的實施例，SCG 360許可或以其它方式使得每個相關(guān)聯(lián)的電子設(shè)備152能夠成為多個SCG 360的成員。例如，當(dāng)相關(guān)聯(lián)的電子設(shè)備152是橋接多個SCG 360之間的流量的網(wǎng)關(guān)時、或者當(dāng)諸如設(shè)備上的不同軟件模塊之類的不同應(yīng)用需要與不同SCG 360中的應(yīng)用(或軟件模塊)通信時(即使當(dāng)該設(shè)備不是網(wǎng)關(guān)時也是如此)，相關(guān)聯(lián)的電子設(shè)備152可以是多個SCG 360的成員。

更進(jìn)一步地，根據(jù)本文的實施例，并非相同SCG 360中所有相關(guān)聯(lián)的電子設(shè)備152(例如，第一SCG 362中的設(shè)備332、334、336)都需要彼此通信。例如，具有傳感器的ECU 332可被允許向許多其它ECU 334、336廣播數(shù)據(jù)，而僅有選定的ECU 336將被允許將命令發(fā)送到裝配有致動器的ECU 334。

更進(jìn)一步地，根據(jù)本文的實施例，不同SCG 360可以有不同的安全水平。例如，第一SCG 362可以被分配或以其它方式實現(xiàn)第一安全水平，第二SCG 364可以被分配或以其它方式實現(xiàn)不同于第一安全水平的第二安全水平，并且第三SCG 366可以被分配或以其它方式實現(xiàn)不同于第一和第二安全水平的第三安全水平。

更進(jìn)一步地，根據(jù)本文的實施例，每個SCG 362、364、366由唯一的安全通信群標(biāo)識符(SCG ID)所標(biāo)識。優(yōu)選地，相對于相關(guān)聯(lián)的車輛10形成的一個或多個SCG 360在呈現(xiàn)主題裝置100的設(shè)計或制造階段被確定和固定到相關(guān)聯(lián)的車輛10。

繼續(xù)參考圖3，示出了SCG 360的一些示例，其中所示出的實施例的每個SCG 362、364、366由具有顯著不同的通信和處理能力的設(shè)備組成。在一個示例中，第一SCG 362(其示出了(相對于相關(guān)聯(lián)的車輛10)由車載和非車載設(shè)備兩者組成SCG的方式)可操作用于約束可由外部系統(tǒng)訪問的車內(nèi)網(wǎng)絡(luò)和設(shè)備的子集。此外，圖3示出了根據(jù)實施例的SCG的另一示例特征，其中任意相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備150可參與多個SCG，例如交換機(jī)設(shè)備330是第一SCG 362的成員也是第三SCG 366的成員。此外，圖3示出了根據(jù)實施例的SCG的另一示例特征，其中SCG完全由內(nèi)部交換機(jī)和網(wǎng)關(guān)設(shè)備形成，例如第三SCG 366由主連接車輛網(wǎng)關(guān)設(shè)備310、第二和第四交換機(jī)或網(wǎng)關(guān)設(shè)備330和350組成，由此消息可以經(jīng)由第三SCG 366在這些設(shè)備之間安全地通信。

除了以上所述，根據(jù)本文的實施例，物理局域網(wǎng)(LAN，例如圖3中示出的以太網(wǎng)絡(luò)308)是SCG的特殊情形，其中SCG中的所有設(shè)備350-356在相同的物理LAN上、使用相同的鏈路層安全協(xié)議、并且具有相同水平的鏈路層安全保護(hù)。

根據(jù)本文的進(jìn)一步的實施例，虛擬局域網(wǎng)(VLAN)也是SCG的特殊情形，其中VLAN SCG中的所有設(shè)備都在相同的VLAN上、使用相同的鏈路層安全協(xié)議、并且具有相同水平的鏈路層安全保護(hù)。

根據(jù)本文的實施例，廣義而言，所描述的SCG使得不同類型的相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備150(其具有很大不同的通信和安全處理能力、并且附接到不同類型的物理和/或虛擬網(wǎng)絡(luò))仍能夠使用協(xié)議彼此通信，并且實現(xiàn)與其能力和風(fēng)險狀況相匹配的保護(hù)水平。

圖4是示出了針對圖1中示出的系統(tǒng)中的相關(guān)聯(lián)的車內(nèi)電子設(shè)備150的安全密鑰層級400的簡化框圖。參考該附圖，每個相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備150被預(yù)配置有第一數(shù)據(jù)集410，包括例如代表主私鑰412的數(shù)據(jù)、代表證書414的數(shù)據(jù)、和代表安全系統(tǒng)參數(shù)416的數(shù)據(jù)。使用在線或離線資源等來將第一數(shù)據(jù)集410預(yù)配置在相關(guān)聯(lián)的電子設(shè)備150中。在示例性實施例中，第一數(shù)據(jù)集410是用作根證書來引導(dǎo)其安全操作的一組永久密鑰。這些可以是，例如針對第三組設(shè)備180的A型設(shè)備的一組公-私密鑰對和它們的證書，以及針對第一和第二組設(shè)備160、170中的任何其它類型的設(shè)備的一組私人主私鑰。每個設(shè)備還可以配備有認(rèn)證令牌，認(rèn)證令牌優(yōu)選地是設(shè)備可用來向車載認(rèn)證代理邏輯130(圖1)認(rèn)證自己的加密數(shù)據(jù)對象的形式。更具體地，第一數(shù)據(jù)集410用于優(yōu)選地根據(jù)上文所述的過程的認(rèn)證，并且用于一旦設(shè)備認(rèn)證440成功就生成第二數(shù)據(jù)集420，第二數(shù)據(jù)集420包括在示例性實施例中并且如上文所述的網(wǎng)絡(luò)不可知安全群通信密鑰(SCGK)422。

根據(jù)示例性實施例，SCGK 422是由設(shè)備用來生成用于每個SCG 360的會話密鑰的密鑰。新的設(shè)備可以建立針對其SCG 360的SCGK 422，以作為成功設(shè)備認(rèn)證過程的一部分。替代地，車載網(wǎng)關(guān)鍵服務(wù)器130可以將SCGK 422分發(fā)給每個新的經(jīng)認(rèn)證的設(shè)備。在示例性實施例中，某些設(shè)備(例如第二組170的設(shè)備)被預(yù)配置有其將需要用來生成或已經(jīng)用來生成安全通信所需的完整性和機(jī)密性密鑰的所有SCGK 422。

在本文的實施例中，為了確保安全的通信，每個裝置需要獲知用于與SCG 360內(nèi)其每個通信對象進(jìn)行通信的話密鑰432。在本文的實施例中，每個設(shè)備不需要首先發(fā)現(xiàn)其通信對象并且隨后與每個對象執(zhí)行密鑰一致性協(xié)議以建立會話密鑰。這些在本文中的示例性實施例不必要的步驟要求每個設(shè)備實現(xiàn)對象發(fā)現(xiàn)協(xié)議，并且與每個對象執(zhí)行密鑰建立協(xié)議，這對于具有受到較高限制的計算和通信能力的許多車內(nèi)設(shè)備是不可實現(xiàn)的。相反，在本文的實施例中消除了明確的對象發(fā)現(xiàn)協(xié)議。本文的實施例有利地不需要設(shè)備與每個通信對象執(zhí)行密鑰建立。相反，作為與車載密鑰服務(wù)器130成功認(rèn)證的結(jié)果，每個設(shè)備建立SCGK 422并且使用SCGK 422來本地生成450其會話密鑰432。優(yōu)選的是，會話密鑰432在設(shè)備操作進(jìn)行安全通信之前生成450，并且在此后周期性地生成。

圖5是示出了圖1的系統(tǒng)的具有雙向通信能力的選定設(shè)備的認(rèn)證和安全密鑰分發(fā)的示例過程500的流程圖。最初在510，第一數(shù)據(jù)集410被存儲在或以其它方式提供到每個相關(guān)聯(lián)的電子設(shè)備150。所存儲的第一數(shù)據(jù)集410包括例如代表主私鑰412的數(shù)據(jù)、代表證書414的數(shù)據(jù)、和代表安全系統(tǒng)參數(shù)416的數(shù)據(jù)。如上所述，第一數(shù)據(jù)集410被使用在線或離線資源等預(yù)配置在相關(guān)聯(lián)的電子設(shè)備150中。先進(jìn)的設(shè)備(例如第三組(A型)相關(guān)聯(lián)的設(shè)備)可以被提供有相比于較不先進(jìn)的設(shè)備(例如第二組(C型)相關(guān)聯(lián)的設(shè)備)較不復(fù)雜或詳細(xì)的初始密鑰或PIN號碼信息。在這方面，將會理解第三組(A型)相關(guān)聯(lián)的設(shè)備能夠執(zhí)行與第三組(A型)的其它設(shè)備的雙向通信，以彼此協(xié)商用于可操作與SCG 360中的其它設(shè)備進(jìn)行通信的必需安全密鑰。然而，諸如第二組(C型)相關(guān)聯(lián)的設(shè)備之類的設(shè)備不具有相同的協(xié)商能力，由此被提供有可以存儲在設(shè)備上的非暫態(tài)存儲器中的會話密鑰432。

在步驟520，每個相關(guān)聯(lián)的設(shè)備150向網(wǎng)關(guān)設(shè)備130進(jìn)行認(rèn)證、或嘗試向網(wǎng)關(guān)設(shè)備130進(jìn)行認(rèn)證。如果認(rèn)證在530被判定為不成功，則認(rèn)證和安全密鑰分發(fā)過程500返回用于再次嘗試認(rèn)證相關(guān)設(shè)備的步驟。然而，如果認(rèn)證在530被判定為成功，則認(rèn)證和安全密鑰分發(fā)過程500繼續(xù)進(jìn)行至步驟540，能夠接收數(shù)據(jù)的每個設(shè)備動態(tài)地獲取或以其它方式接收其相應(yīng)的SCGK 422。在實施例中，能夠接收數(shù)據(jù)的設(shè)備從網(wǎng)關(guān)設(shè)備310動態(tài)地獲取或以其它方式接收其相應(yīng)的SCGK 422。

在實施例的其它方面中，可由設(shè)備協(xié)商的所有SCGK 422由網(wǎng)關(guān)設(shè)備310收集并且存儲在其中，用于稍后到其它設(shè)備的選擇性分發(fā)(其可能是必須的或期待的)。在這方面，圖5的SCGK獲取和分發(fā)步驟540相對于第一和第三組相關(guān)聯(lián)的設(shè)備160、180在圖6中更詳細(xì)地示出。圖6是示出了圖5中與具有雙向通信能力的設(shè)備相關(guān)的流程圖的一部分的簡化流程圖。如圖所示，每個具有雙向通信能力的設(shè)備選擇性地在610接收第三組180(A型)設(shè)備的SCGK。類似地，每個具有雙向通信能力的設(shè)備選擇性地在620接收第一組160(B型)設(shè)備的SCGK。此外，每個具有雙向通信能力的設(shè)備選擇性地在630接收第二組170(C型)設(shè)備的SCGK。

再次參考圖5示出的認(rèn)證和安全密鑰分發(fā)過程500，在SCGK獲取和分發(fā)之后、并且在設(shè)備可操作地在SCG 360中進(jìn)行安全通信450(圖4)之前，在步驟560，設(shè)備在本地編譯和生成各自的會話密鑰432。同樣，應(yīng)當(dāng)理解，僅由具有雙向通信能力的設(shè)備接收或以其它方式協(xié)作確定其各自的會話密鑰432，并且根據(jù)示例性實施例，簡單的設(shè)備(例如，第二組(C型)設(shè)備170)在制造、初始編程、或者設(shè)備安裝到相關(guān)聯(lián)的通信網(wǎng)絡(luò)140(圖1)期間被提供有一個或多個會話密鑰。網(wǎng)關(guān)設(shè)備310收集預(yù)先配置在簡單的設(shè)備(例如，第二組(C型)設(shè)備170)上的會話密鑰，并且隨后將會話密鑰分發(fā)給具有雙向通信能力的一個或多個其它設(shè)備(例如，第一和第二組160、180(B&C型)的那些設(shè)備)。

圖7是示出了針對圖1的系統(tǒng)的僅具有單向通信能力的選定設(shè)備的認(rèn)證和安全密鑰分發(fā)的示例過程700的流程圖。最初在710，第一數(shù)據(jù)集410被存儲在或以其它方式提供到僅具有單向通信能力的每個相關(guān)聯(lián)的電子設(shè)備150。所存儲的第一數(shù)據(jù)集410包括例如代表用于認(rèn)證僅具有單向通信能力的設(shè)備的會話密鑰和信息的數(shù)據(jù)。第一數(shù)據(jù)集410使用在線或離線資源等預(yù)配置在相關(guān)聯(lián)的電子設(shè)備150中，或者存儲在非暫態(tài)存儲器或類似設(shè)備中。

在步驟720，僅具有單向通信能力的選定設(shè)備使用第一數(shù)據(jù)集410來與網(wǎng)關(guān)設(shè)備310進(jìn)行認(rèn)證。此后，僅具有單向通信能力的設(shè)備將第一數(shù)據(jù)集410用作會話密鑰，以用于一個或多個SCG 360內(nèi)的安全通信。

但應(yīng)理解，在示例性實施例中，會話密鑰432被用來確保SCG內(nèi)的成員設(shè)備之間的安全通信，其中會話密鑰432由設(shè)備用來簽名或以其它方式加密消息。在這方面，圖8是示出了使用安全通信群會話密鑰對消息進(jìn)行安全通信的功能流程800的功能框圖。一般而言，開放的、或以其它方式不安全的或不加密的消息810由網(wǎng)關(guān)設(shè)備310的加密邏輯820使用選定會話密鑰432來簽名或加密，如上所述。更具體地，第一和第三組(B&A型)設(shè)備160、180可以使用雙向通信彼此協(xié)商SCGK密鑰，或者它們可以從網(wǎng)關(guān)設(shè)備310接收SCGK，其中SCGK由第一和第三組(B&A型)設(shè)備160、180的設(shè)備用來本地且動態(tài)地建立其各自的會話密鑰。此外，根據(jù)本文的實施例，第二組(C型)設(shè)備170的單向通信設(shè)備被預(yù)配置有認(rèn)證數(shù)據(jù)和會話密鑰432。在所示的實施例中，加密邏輯820為開放非安全的消息810簽名，從而形成能夠在相關(guān)聯(lián)的通信網(wǎng)絡(luò)140(圖1)內(nèi)安全地傳輸?shù)募用艿南?30。以這種方式，由第一SCG的設(shè)備成員所加密的消息僅能夠由同樣是第一SCG的成員的設(shè)備進(jìn)行解密。此外，以這種方式，消息可以安全地在異構(gòu)設(shè)備之間傳輸。

圖9是示出了其上可以實現(xiàn)示例性實施例的計算機(jī)系統(tǒng)900的示例的框圖。一般而言，可以采用計算機(jī)系統(tǒng)900來實現(xiàn)裝置100中的認(rèn)證代理邏輯130、以及一個或多個相關(guān)的車輛10的所連接的車載網(wǎng)關(guān)設(shè)備310的功能。

計算機(jī)系統(tǒng)900包括用于傳遞信息的總線902或其它通信機(jī)構(gòu)、以及與總線902耦接用于處理信息的處理器904。計算機(jī)系統(tǒng)900還包括非暫態(tài)主存儲器906，例如耦接到總線902用于存儲要由處理器904執(zhí)行的指令和信息的隨機(jī)存取存儲器(RAM)或其它動態(tài)存儲設(shè)備。主存儲器906也可用于在由處理器904執(zhí)行的指令的執(zhí)行期間存儲臨時變量或其它中間信息。計算機(jī)系統(tǒng)900還包括耦接至總線902用于存儲處理器904的靜態(tài)信息和指令的只讀存儲器(ROM)或其它靜態(tài)存儲設(shè)備。非暫態(tài)存儲裝置910(例如，磁盤、光盤、和/或閃存存儲器)被提供并耦接到總線902用于存儲信息和指令。

示例實施例的一個方面涉及使用計算機(jī)系統(tǒng)900來認(rèn)證具有不等能力的設(shè)備。示例實施例的進(jìn)一步的方面涉及使用計算機(jī)系統(tǒng)900來認(rèn)證具有不等能力的設(shè)備，例如具有非常不同的通信和處理功能的車內(nèi)電子設(shè)備。根據(jù)示例性實施例，這些功能是由計算機(jī)系統(tǒng)900響應(yīng)于處理器904執(zhí)行包含在非暫態(tài)主存儲器906中的一個或多個指令的一個或多個序列而提供的。這樣的指令可從另一計算機(jī)可讀介質(zhì)(例如存儲設(shè)備910)讀入主存儲器906。對包含在主存儲器906中的指令序列的執(zhí)行使得處理器904執(zhí)行本文描述的處理步驟。多處理布置中的一個或多個處理器也可以被用來執(zhí)行包含在主存儲器906中的指令序列。在替代的實施例中，硬連線電路可代替軟件指令、或與軟件指令結(jié)合使用來實現(xiàn)示例性實施例。因此，本文描述的實施例不限于硬件電路的任何特定組合、或具有軟件的硬件電路的任何特定組合。

如本文所用的術(shù)語“計算機(jī)可讀介質(zhì)”指的是參與提供指令給處理器904用于執(zhí)行的任何非暫態(tài)介質(zhì)。這樣的介質(zhì)可以采取許多形式，包括但不限于非易失性介質(zhì)和易失性介質(zhì)。非易失性介質(zhì)包括例如諸如存儲設(shè)備910之類的光盤或磁盤。易失性介質(zhì)包括諸如主存儲器906之類的動態(tài)非暫態(tài)存儲器。如本文中所使用的，有形介質(zhì)可包括任何非暫時性介質(zhì)，例如易失性和非易失性介質(zhì)。計算機(jī)可讀介質(zhì)的常見形式包括例如軟盤、柔性盤、硬盤、磁卡、紙帶、具有孔圖案的任何其它物理介質(zhì)、RAM、PROM、EPROM、FLASHPROM、CD、DVD、或任何其它存儲器芯片或盒、或計算機(jī)可從其進(jìn)行讀取的任何其它介質(zhì)。

將一個或多個指令的一個或多個序列承載到處理器904以用于執(zhí)行可能涉及各種形式的計算機(jī)可讀介質(zhì)。例如，指令最初可以由遠(yuǎn)程計算機(jī)的磁盤上承載。遠(yuǎn)程計算機(jī)可以將指令加載到其動態(tài)存儲器中并且使用調(diào)制解調(diào)器通過電話線發(fā)送指令。計算機(jī)系統(tǒng)900的本地調(diào)制解調(diào)器可以接收電話線上的數(shù)據(jù)，并使用紅外發(fā)射器將數(shù)據(jù)轉(zhuǎn)換為紅外信號。耦接到總線902的紅外檢測器可以接收承載于紅外信號中的數(shù)據(jù)，并將數(shù)據(jù)置于總線902上?？偩€902承載數(shù)據(jù)到主存儲器906，處理器904從主存儲器906檢索并執(zhí)行指令。由主存儲器606接收的指令可選地或者在由處理器904執(zhí)行之前、或者在由處理器904執(zhí)行之后被存儲在存儲設(shè)備910上。

計算機(jī)系統(tǒng)900還包括可操作地與總線902耦接的第一通信接口920。通信接口920提供雙向數(shù)據(jù)通信，將計算機(jī)系統(tǒng)900與通信鏈路930耦接。例如，通信接口920可以是局域網(wǎng)(LAN)卡，用于提供到兼容LAN(例如控制器區(qū)域網(wǎng)絡(luò)(CAN)網(wǎng)絡(luò))的數(shù)據(jù)通信連接。作為另一示例，通信接口920可以是綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)卡或調(diào)制解調(diào)器，用于提供到相應(yīng)類型的電話線的數(shù)據(jù)通信連接。也可以實現(xiàn)無線鏈路。在任何這種實現(xiàn)方式中，通信接口920發(fā)送和接收電、電磁、或光信號，該電、電磁、或光信號承載代表各種類型的信息的數(shù)字?jǐn)?shù)據(jù)流。

鑒于前述結(jié)構(gòu)和功能特征，參考圖10a-圖11c將更好地理解根據(jù)本文的示例性實施例的方法。同時，出于簡化解釋的目的，這些圖將方法示出和描述為連續(xù)執(zhí)行的，但是應(yīng)理解和明白，示例性實施例并不由所示的順序限制，因為一些方面可以以不同的順序發(fā)生和/或與來自本文所示和描述的其它方面一起發(fā)生。此外，并非所有示出的特征都被要求來實現(xiàn)根據(jù)示例性實施例的方面的方法。本文所描述的方法適當(dāng)?shù)剡m于在硬件、軟件、或其組合中實現(xiàn)。

總體而言，示例性實施例的SCG 360有效地使在不同網(wǎng)絡(luò)上的兩個或更多設(shè)備能夠經(jīng)由一個或多個內(nèi)部交換機(jī)通過或者鄰居到鄰居、或者終端到終端安全保護(hù)來容易地進(jìn)行安全通信。在這方面，首先參考圖10a，將描述示出了用于安全的鄰居到鄰居的通信的示例過程1000的流程圖。所示出的實施例提供了使用鄰居到鄰居的安全通信拓?fù)涞?、通過圖1的系統(tǒng)的內(nèi)部交換機(jī)和網(wǎng)關(guān)的具有不等的通信能力的電子設(shè)備之間的安全消息交換。

為了說明示例性實施例的一般功能(相對于使用鄰居到鄰居的機(jī)密性保護(hù)的、通過內(nèi)部交換機(jī)和網(wǎng)關(guān)的車內(nèi)設(shè)備之間的安全消息交換)，圖10a所示的所有組件都被假定為駐留在相關(guān)聯(lián)的通信網(wǎng)絡(luò)140內(nèi)。此外，所有的設(shè)備都是SCG 1000的成員。在示例中，組件包括例如第一設(shè)備1010，第一設(shè)備1010經(jīng)由內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備1030與第二設(shè)備1020可操作地通信。此外，第二設(shè)備1020經(jīng)由第二內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備1050與第三設(shè)備1040可操作地通信。進(jìn)一步地，在示例中出于描述實施例的目的，第一設(shè)備1010在諸如以太網(wǎng)絡(luò)之類的第一網(wǎng)絡(luò)中，第二設(shè)備1020在諸如CAN網(wǎng)絡(luò)之類的第二網(wǎng)絡(luò)中，并且第三設(shè)備1040在諸如LIN網(wǎng)絡(luò)之類的第三網(wǎng)絡(luò)中。然而重申，在示例性實施例中所有的設(shè)備都是共同的第一SCG 1000的成員。

有了鄰居到鄰居的消息安全性(如圖10a所示)，源設(shè)備簽名并加密其消息到最近的交換機(jī)，交換機(jī)驗證或解密消息，隨后使用自己的密鑰簽名和加密消息到下一跳模式。這意味著，內(nèi)部交換機(jī)需要知曉鄰居設(shè)備的會話密鑰，并且進(jìn)一步地需要實現(xiàn)對稱密鑰的完整性和/或機(jī)密性保護(hù)功能。據(jù)此，來自第三設(shè)備1040的第一消息1041以第三設(shè)備1040的會話密鑰簽名，并且第二交換機(jī)設(shè)備1050使用第二交換機(jī)設(shè)備1050的會話密鑰來解密消息。類似地，在第一設(shè)備1010和第一交換機(jī)1030之間交換的消息首先以傳輸設(shè)備的SCG會話密鑰來簽名。本質(zhì)上，消息1041、1051、1021、1031、1011和1032中的每個在跳之間都被簽名或以其它方式加密。

圖10b是示出了使用終端到終端安全通信模型的、通過圖l的系統(tǒng)的內(nèi)部交換機(jī)和網(wǎng)關(guān)的電子設(shè)備之間的安全消息交換的流程圖。有了終端到終端安全通信模型(如圖10b所示)，安全設(shè)備簽名/或加密其消息到目的地設(shè)備。中間交換機(jī)不驗證或解密這些消息，因此不需要知曉鄰居設(shè)備的會話密鑰并且進(jìn)一步地不需要實現(xiàn)加密功能。

為了說明一般功能(相對于使用終端到終端機(jī)密性保護(hù)的、通過如圖10b所示的內(nèi)部交換機(jī)和網(wǎng)關(guān)的車內(nèi)設(shè)備之間的安全消息交換)，所有組件都被假定為駐留在相關(guān)聯(lián)的通信網(wǎng)絡(luò)140內(nèi)。此外，所有的設(shè)備都是SCG 1000的成員。在示例中新組件包括經(jīng)由內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備1030′與第二設(shè)備1020′可操作地通信的第一設(shè)備1010′。此外，第二設(shè)備1020′經(jīng)由第二內(nèi)部交換機(jī)或網(wǎng)關(guān)設(shè)備1050′與第三設(shè)備1040′可操作地通信。此外，在示例中出于描述實施例的目的，第一設(shè)備1010′在諸如以太網(wǎng)絡(luò)之類的第一網(wǎng)絡(luò)中，第二設(shè)備1020′在諸如CAN網(wǎng)絡(luò)之類的第二網(wǎng)絡(luò)中，并且第三設(shè)備1040′在諸如LIN網(wǎng)絡(luò)之類的第三網(wǎng)絡(luò)中。然而重申，所有設(shè)備都是共同的第一SCG 1000′的成員。

因此，來自第三設(shè)備1040′的第一消息1041′以第三設(shè)備的會話密鑰簽名并且經(jīng)由第二交換機(jī)設(shè)備1050′、第二設(shè)備1020′和第一交換機(jī)設(shè)備1030′傳輸?shù)降谝辉O(shè)備1010′，本質(zhì)上不存在解密或任何其它材料修改。更具體地，在所示的實施例中，設(shè)備1050′、1020′和1030′可操作以僅對消息1041執(zhí)行交換功能而沒有加密或安全功能。

在第一設(shè)備1010′接收使用第三設(shè)備1040′的會話密鑰加密的消息1041′之后，其使用第一設(shè)備1010′的會話密鑰進(jìn)行解密。

示例性實施例的SCG可以支持用于控制由外部設(shè)備向車內(nèi)設(shè)備的訪問的多種方法，如圖11a、圖11b和圖11c所例舉的。圖11a是示出了使用鄰居到鄰居安全通信模型或跳到跳安全通信模型的、圖1的系統(tǒng)的車內(nèi)設(shè)備與相關(guān)聯(lián)的外部設(shè)備之間的安全消息傳輸?shù)牧鞒虉D。

圖11表明外部的A型、B型或C型設(shè)備可以與SCV網(wǎng)關(guān)進(jìn)行認(rèn)證。作為成功認(rèn)證的一部分，外部設(shè)備和SCV網(wǎng)關(guān)將建立用于確保其間交換的數(shù)據(jù)的安全的會話密鑰。外部設(shè)備隨后簽名和/或加密其數(shù)據(jù)到SCV網(wǎng)關(guān)。SCV網(wǎng)關(guān)驗證和解密的數(shù)據(jù)，隨后上傳以它自己的會話密鑰保護(hù)的數(shù)據(jù)到目的地的ECU。

在圖11a所示的實施例的系統(tǒng)中，網(wǎng)絡(luò)設(shè)備1100和網(wǎng)關(guān)設(shè)備1110被布置在相關(guān)聯(lián)的車輛10內(nèi)，并且外部設(shè)備1120被布置在相關(guān)聯(lián)的車輛10之外、或從相關(guān)聯(lián)的車輛10中移除。為示例起見，假設(shè)外部設(shè)備1120先前已由可信方授權(quán)或以其它方式提供了證書。

在1122，外部設(shè)備1120和車內(nèi)網(wǎng)關(guān)1110認(rèn)證設(shè)備1120，并且建立一組安全通信密鑰。隨后外部設(shè)備1120使用該組安全通信密鑰來將在1124發(fā)送的數(shù)據(jù)簽名或以其它方式加密到車內(nèi)網(wǎng)關(guān)1110。

車內(nèi)網(wǎng)關(guān)1110接收加密的數(shù)據(jù)消息1124，并且對其進(jìn)行解密來認(rèn)驗證消息不包含惡意軟件或類似物。一旦經(jīng)解密的消息的完整性得以認(rèn)證，網(wǎng)關(guān)設(shè)備1110就使用網(wǎng)關(guān)設(shè)備的加密密鑰來加密消息，用于以加密的消息1112的加密形式遞送到車內(nèi)設(shè)備1100。

在圖11b所示的實施例的系統(tǒng)中，網(wǎng)絡(luò)設(shè)備1100和網(wǎng)關(guān)設(shè)備1110被布置在相關(guān)聯(lián)的車輛10內(nèi)，并且外部設(shè)備1120被布置在相關(guān)聯(lián)的車輛10之外、或從相關(guān)聯(lián)的車輛10中移除。為示例起見，假設(shè)外部設(shè)備1120先前已由可信方授權(quán)或以其它方式提供了證書。

在1122，外部設(shè)備1120和車內(nèi)網(wǎng)關(guān)1110認(rèn)證設(shè)備1120，并且建立一組安全通信密鑰。隨后外部設(shè)備1120使用該組安全通信密鑰來將在1124發(fā)送的數(shù)據(jù)簽名或以其它方式加密到車內(nèi)網(wǎng)關(guān)1110。

車內(nèi)網(wǎng)關(guān)1110接收加密的數(shù)據(jù)消息1124，并且將其直接傳送至車內(nèi)設(shè)備1100。車載網(wǎng)關(guān)1100也在1114處將在1122處建立的外部設(shè)備1120的安全通信密鑰傳送至車內(nèi)設(shè)備1100。以這種方式，網(wǎng)關(guān)設(shè)備1110不再擔(dān)負(fù)解密隨后重新加密來自外部設(shè)備1120的數(shù)據(jù)的負(fù)擔(dān)。

在圖11c所示的實施例的系統(tǒng)中，網(wǎng)絡(luò)設(shè)備1100和網(wǎng)關(guān)設(shè)備1110被布置在相關(guān)聯(lián)的車輛10內(nèi)，并且外部設(shè)備1120被布置在從相關(guān)聯(lián)的車輛10之外、或從相關(guān)聯(lián)的車輛10中移除。為示例起見，假設(shè)外部設(shè)備1120先前已由可信方授權(quán)或以其它方式提供了證書。

在1122，外部設(shè)備1120和車內(nèi)網(wǎng)關(guān)1110認(rèn)證設(shè)備1120，并且建立一組安全通信密鑰。隨后外部設(shè)備1120使用該組安全通信密鑰來將在1124發(fā)送的數(shù)據(jù)簽名或以其它方式加密到車內(nèi)網(wǎng)關(guān)1110。

在此示例中，認(rèn)證訪問控制與數(shù)據(jù)相結(jié)合。本質(zhì)上，與網(wǎng)關(guān)設(shè)備1110的明確認(rèn)證在實施例中得以消除。因此，外部設(shè)備1120被允許通過網(wǎng)關(guān)1110將數(shù)據(jù)消息簡單地始發(fā)到車內(nèi)設(shè)備1100，而無需明確認(rèn)證。在示例中，網(wǎng)關(guān)通過檢查數(shù)據(jù)執(zhí)行隱式認(rèn)證。例如，一個示例中的網(wǎng)關(guān)設(shè)備1110直接驗證消息1124上數(shù)據(jù)的簽名。當(dāng)簽名通過網(wǎng)關(guān)設(shè)備1110的驗證，系統(tǒng)暗示對簽名的驗證來自授權(quán)方。換言之，當(dāng)消息1124的簽名由網(wǎng)關(guān)設(shè)備1110驗證通過時，發(fā)送方(即外部設(shè)備1120)被推定為經(jīng)授權(quán)的。

一旦簽名得以驗證，就i)在1112處，加密的消息可以直接轉(zhuǎn)發(fā)到車內(nèi)設(shè)備1100，或ii)在1112處，數(shù)據(jù)被解密隨后被發(fā)送到車內(nèi)設(shè)備1100。

在下述情況時，新的安全密鑰管理和安全通信方法可以確保具有很大不同的通信和處理能力的車內(nèi)設(shè)備之間的通信的安全：1)一些設(shè)備只能發(fā)送但不能接收消息，一些設(shè)備只能執(zhí)行對稱密鑰加密操作但不能執(zhí)行公鑰算法，并且許多設(shè)備不支持IP協(xié)議時；2)相異的設(shè)備也在不同類型的車載網(wǎng)絡(luò)(例如CAN、LIN、MOST和以太網(wǎng))上時；以及3)車輛不具有到外部安全系統(tǒng)的網(wǎng)絡(luò)連接性時。示例性實施例還解決了外部設(shè)備如何能安全地與連接到相同或不同網(wǎng)絡(luò)的車內(nèi)設(shè)備進(jìn)行通信的問題。

總體而言，實施例使得不同類型的網(wǎng)絡(luò)上具有相異能力的設(shè)備能夠安全地彼此通信，同時允許每個設(shè)備的安全保護(hù)水平和安全處理負(fù)擔(dān)與其能力和風(fēng)險狀況相匹配。本文的實施例提為針對具體類型的網(wǎng)絡(luò)或應(yīng)用提供安全性的系統(tǒng)提供了顯著改善，其中實施例支持所有類型的車內(nèi)網(wǎng)絡(luò)的安全通信。在實施例中，沒有在相同的物理或虛擬LAN上的設(shè)備需要使用相同安全協(xié)議(因而也具有相同的安全水平，而無論設(shè)備的能力如何)的要求。相反在本文的實施例中，每個設(shè)備的安全水平基于該設(shè)備的通信和處理能力。

又更進(jìn)一步地，實施例允許車內(nèi)網(wǎng)絡(luò)的安全能力輕松地生長和擴(kuò)展，而不改變安全架構(gòu)或協(xié)議。例如，在較新的車型或改裝現(xiàn)有車輛(不改變安全系統(tǒng)和方法或改變其它設(shè)備)中，B型設(shè)備可以以A型設(shè)備來代替，C型設(shè)備可以以B型或A型設(shè)備來代替。升級物理或虛擬局域網(wǎng)上的安全水平不需要升級相同網(wǎng)絡(luò)上的所有設(shè)備的安全能力。仍另外地，實施例允許在車內(nèi)設(shè)備與預(yù)先認(rèn)證的外部設(shè)備之間的安全通信。

上文描述了示例性實施例。它當(dāng)然不可能描述組件或方法的每一可想到的組合，但本領(lǐng)域的普通技術(shù)人員將認(rèn)識到示例性實施例的許多進(jìn)一步的組合和排列是可能的。因此，本申請旨在涵蓋落入所附權(quán)利要求的精神和范圍(其覆蓋面根據(jù)它們公平、合法和公正地賦予的含義來解釋)內(nèi)的所有這樣的更改、修改和變化。