本發(fā)明涉及車載網(wǎng)絡(luò)診斷技術(shù)，尤其涉及一種基于權(quán)限管控的車載安全診斷系統(tǒng)及方法。

背景技術(shù)：

1、doip（diagnostic?communication?over?internet?protocol）是基于以太網(wǎng)通訊協(xié)議對uds協(xié)議的數(shù)據(jù)進(jìn)行傳輸，其本身也是一種協(xié)議，協(xié)議規(guī)范由iso13400定義。由于doip可以傳輸大量數(shù)據(jù)以及響應(yīng)速度快，且可以通過以太網(wǎng)進(jìn)行遠(yuǎn)程診斷、ota等，因此doip逐步成為代替?zhèn)鹘y(tǒng)的can等總線方式，成為車載網(wǎng)絡(luò)診斷的必然趨勢，但在保證診斷效率的同時(shí)也需要保證診斷過程的信息安全。

2、iso13400規(guī)范中定義了安全診斷模式，通過對doip?server節(jié)點(diǎn)啟動tls?tcp_data?socket的方式對數(shù)據(jù)進(jìn)行加密。

3、但任一惡意人員拿到診斷儀后接上車輛obd或者通過ota的方式連接到doip的tcp服務(wù)端口，未授權(quán)的訪問問題就會出現(xiàn)，進(jìn)一步對車輛診斷獲取車輛信息或?qū)囕v進(jìn)行診斷攻擊。對于一個(gè)通用doip協(xié)議的車輛來說，通過上述方式進(jìn)行診斷攻擊是極其簡單的，例如一些汽車維修店或者網(wǎng)購?fù)ㄓ迷\斷儀等。

技術(shù)實(shí)現(xiàn)思路

1、為解決現(xiàn)有技術(shù)中存在的不足，本發(fā)明的目的在于，提供一種基于權(quán)限管控的車載安全診斷系統(tǒng)及方法。

2、為實(shí)現(xiàn)本發(fā)明的目的，本發(fā)明所采用的技術(shù)方案是：

3、一種基于權(quán)限管控的車載安全診斷系統(tǒng)，包括doip診斷服務(wù)端、doip診斷客戶端，doip診斷服務(wù)端接入車輛，doip診斷客戶端接入doip診斷儀；

4、doip診斷服務(wù)端和doip診斷客戶端進(jìn)行雙向認(rèn)證；同時(shí)定義權(quán)限簽名文件對通過認(rèn)證的doip診斷客戶端、doip診斷服務(wù)端的診斷行為進(jìn)行管控；

5、通過雙向認(rèn)證后，車輛通過doip診斷服務(wù)端選擇合適的加密算法，使用客戶端公鑰加密后發(fā)出；doip診斷儀通過doip診斷客戶端私鑰獲取加密算法，同時(shí)生成會話秘鑰，使用服務(wù)端公鑰加密后發(fā)出；車輛通過doip診斷服務(wù)端私鑰獲取會話秘鑰；通過交換的會話秘鑰進(jìn)行加密診斷，過程中的診斷操作受到診斷權(quán)限文件的管控。

6、進(jìn)一步地，車輛出廠時(shí)內(nèi)置診斷證書，私鑰以及oem廠商定義的權(quán)限簽名文件。

7、進(jìn)一步地，權(quán)限簽名文件由oem廠商進(jìn)行簽名授權(quán)，并給oem廠商授權(quán)的doip診斷儀分發(fā)權(quán)限簽名文件。

8、進(jìn)一步地，雙向認(rèn)證過程為，

9、doip診斷儀驗(yàn)證doip診斷客戶端接收到的doip診斷服務(wù)端證書的合法性，并解析獲取服務(wù)端公鑰；同時(shí)驗(yàn)證doip診斷服務(wù)端權(quán)限簽名文件的簽名私鑰是否和doip診斷客戶端權(quán)限簽名文件相同；

10、doip診斷客戶端發(fā)送doip診斷客戶端證書，doip診斷客戶端權(quán)限簽名文件以及客戶端支持的加密算法；

11、doip診斷服務(wù)端驗(yàn)證doip診斷客戶端證書的合法性，并解析獲取客戶端公鑰；同時(shí)驗(yàn)證doip診斷客戶端權(quán)限簽名文件的簽名私鑰是否和doip診斷服務(wù)端權(quán)限簽名文件相同。

12、一種基于權(quán)限管控的車載安全診斷方法，包括步驟：

13、（1）若doip診斷儀上沒有doip診斷客戶端權(quán)限簽名文件，則編輯好權(quán)限文件向車輛對應(yīng)的oem廠商申請對應(yīng)的權(quán)限簽名文件；

14、（2）oem廠商審核doip診斷儀信息以及權(quán)限文件內(nèi)容，若均合法則進(jìn)行簽名，生成對應(yīng)的權(quán)限簽名文件下發(fā)給doip診斷儀使用；

15、（3）doip診斷客戶端啟動，創(chuàng)建tls套接字，驗(yàn)證sn、mac信息與權(quán)限簽名文件中的定義是否一致；

16、（4）doip診斷服務(wù)端啟動，創(chuàng)建tls套接字，驗(yàn)證sn、mac信息與權(quán)限簽名文件中的定義是否一致；

17、（5）doip診斷客戶端和doip診斷服務(wù)端請求建立tls套接字連接；

18、（6）doip診斷服務(wù)端返回doip診斷服務(wù)端證書，doip診斷服務(wù)端權(quán)限簽名文件；

19、（7）doip診斷儀驗(yàn)證doip診斷客戶端接收到的doip診斷服務(wù)端證書的合法性，并解析獲取服務(wù)端公鑰；同時(shí)驗(yàn)證doip診斷服務(wù)端權(quán)限簽名文件的簽名私鑰是否和doip診斷客戶端權(quán)限簽名文件相同；

20、（8）doip診斷客戶端發(fā)送doip診斷客戶端證書，doip診斷客戶端權(quán)限簽名文件以及客戶端支持的加密算法；

21、（9）doip診斷服務(wù)端驗(yàn)證doip診斷客戶端證書的合法性，并解析獲取客戶端公鑰；同時(shí)驗(yàn)證doip診斷客戶端權(quán)限簽名文件的簽名私鑰是否和doip診斷服務(wù)端權(quán)限簽名文件相同；

22、（10）車輛通過doip診斷服務(wù)端選擇合適的加密算法，使用客戶端公鑰加密后發(fā)出；

23、（11）doip診斷儀通過doip診斷客戶端私鑰獲取加密算法，同時(shí)生成會話秘鑰，使用服務(wù)端公鑰加密后發(fā)出；

24、（12）車輛通過doip診斷服務(wù)端私鑰獲取會話秘鑰，完成會話秘鑰交換；

25、（13）通過交換的會話秘鑰進(jìn)行加密診斷，過程中的診斷操作受到診斷權(quán)限文件的管控。

26、進(jìn)一步地，步驟（2）中，完成診斷操作權(quán)限文件后經(jīng)由oem審核完成簽名授權(quán)，診斷操作均被審核為合法操作；該權(quán)限簽名文件與客戶端唯一綁定。

27、進(jìn)一步地，步驟（13）中，加密診斷過程中，權(quán)限簽名文件中未被定義的診斷行為均不應(yīng)被允許操作。

28、本發(fā)明的有益效果在于，與現(xiàn)有技術(shù)相比，本發(fā)明通過雙向認(rèn)證的方式，彌補(bǔ)了iso13400規(guī)范中僅對車輛認(rèn)證的缺陷，增加了對doip客戶端的認(rèn)證，解決了非法doip客戶端接入的情況。本發(fā)明的所有診斷操作均為加密認(rèn)證操作，保證了診斷數(shù)據(jù)的機(jī)密性，以及數(shù)據(jù)被惡意篡改的行為。

29、本發(fā)明通過權(quán)限簽名文件的方式保證了診斷客戶端被oem廠商授權(quán)，所進(jìn)行的診斷操作同樣得到了oem廠商的授權(quán)，車輛不會接受未授權(quán)的診斷客戶端連接，同樣不會處理未被授權(quán)的診斷行為。本發(fā)明的權(quán)限簽名文件可以動態(tài)定義及更新，oem可以根據(jù)診斷類型合理的定義不同doip診斷儀/ota客戶端的診斷行為。

技術(shù)特征：

1.一種基于權(quán)限管控的車載安全診斷系統(tǒng)，其特征在于，包括doip診斷服務(wù)端、doip診斷客戶端，doip診斷服務(wù)端接入車輛，doip診斷客戶端接入doip診斷儀；

2.根據(jù)權(quán)利要求1所述的基于權(quán)限管控的車載安全診斷系統(tǒng)，其特征在于，車輛出廠時(shí)內(nèi)置診斷證書，私鑰以及oem廠商定義的權(quán)限簽名文件。

3.根據(jù)權(quán)利要求1所述的基于權(quán)限管控的車載安全診斷系統(tǒng)，其特征在于，權(quán)限簽名文件由oem廠商進(jìn)行簽名授權(quán)，并給oem廠商授權(quán)的doip診斷儀分發(fā)權(quán)限簽名文件。

4.根據(jù)權(quán)利要求1所述的基于權(quán)限管控的車載安全診斷系統(tǒng)，其特征在于，雙向認(rèn)證過程為，

5.一種基于權(quán)限管控的車載安全診斷方法，其特征在于，包括步驟：

6.根據(jù)權(quán)利要求5所述的基于權(quán)限管控的車載安全診斷方法，其特征在于，步驟（2）中，完成診斷操作權(quán)限文件后經(jīng)由oem審核完成簽名授權(quán)，診斷操作均被審核為合法操作；該權(quán)限簽名文件與客戶端唯一綁定。

7.根據(jù)權(quán)利要求5所述的基于權(quán)限管控的車載安全診斷方法，其特征在于，步驟（13）中，加密診斷過程中，權(quán)限簽名文件中未被定義的診斷行為均不應(yīng)被允許操作。

技術(shù)總結(jié)
本發(fā)明公開了一種基于權(quán)限管控的車載安全診斷方法及系統(tǒng)，包括DoIP診斷服務(wù)端、DoIP診斷客戶端，DoIP診斷服務(wù)端和DoIP診斷客戶端進(jìn)行雙向認(rèn)證；同時(shí)定義權(quán)限簽名文件對通過認(rèn)證的DoIP診斷客戶端、DoIP診斷服務(wù)端的診斷行為進(jìn)行管控；通過雙向認(rèn)證后，進(jìn)行會話秘鑰交換；通過交換的會話秘鑰進(jìn)行加密診斷，過程中的診斷操作受到診斷權(quán)限文件的管控。本發(fā)明通過雙向認(rèn)證的方式，解決了非法DoIP客戶端接入的情況所有診斷操作均為加密認(rèn)證操作，防止數(shù)據(jù)被惡意篡改的行為；通過權(quán)限簽名文件的方式保證了診斷客戶端被OEM廠商授權(quán)，車輛不會接受未授權(quán)的診斷客戶端連接，不會處理未被授權(quán)的診斷行為。

技術(shù)研發(fā)人員：翟國權(quán),陳誠,張旸
受保護(hù)的技術(shù)使用者：奧特酷智能科技（南京）有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6