用于识别对传感器和/或传感器的传感器数据的操纵的方法.pdf

用于识别对传感器和/或传感器的传感器数据的操纵的方法。本发明涉及一种用于在传感器与电子控制和/或调节装置之间传输数据的方法，其中保护所传输的传感器数据和传感器免遭操纵。本发明建议一种特别简单、但是非常安全的方法来防止操纵，其中传感器数据经由具有第一数据传输速率的第一逻辑数据传输信道从传感器传输至控制和/或调节装置，并且用于保证所传输的传感器数据和/或传感器的安全的安全数据经由具有第二数据传输速率的第二逻辑数据传输信道从传感器传输至控制和/或调节装置。至少一次在数据传输会话开始时经由第三逻辑数据传输信道将会话密钥从控制和/或调节装置传输至传感器并且由传感器接收。

权利要求书1.  用于在传感器（1）与电子控制和/或调节装置（2）之间传输数据的方法，其中保护所传输的传感器数据                                                和传感器（1）免遭操纵，其特征在于，传感器数据经由具有第一数据传输速率的第一逻辑数据传输信道（10）从传感器（1）传输至控制和/或调节装置（2），并且用于保证所传输的传感器数据和/或传感器（1）的安全的安全数据（MAC；CMAC）经由具有第二数据传输速率的第二逻辑数据传输信道（11）从传感器（1）传输至控制和/或调节装置（2），以及至少一次在数据传输会话开始时经由第三逻辑数据传输信道将会话密钥（KS）从控制和/或调节装置（2）传输至传感器(1)并且由传感器(1)接收，其中会话密钥（KS）由传感器（1）至少为了正在进行的会话而被用于生成所述安全数据（MAC；CMAC）。2.  根据权利要求1所述的方法，其特征在于，在使用会话密钥（KS）的情况下由传感器（1）根据加密方法至少经由待传输的传感器数据的一部分生成消息鉴权代码（MAC）并且至少部分地经由第二数据传输信道（11）作为安全数据传输至控制和/或调节装置（2）并由该控制和/或调节装置（2）接收。3.  根据权利要求1或2所述的方法，其特征在于，在使用会话密钥（KS）的情况下由控制和/或调节装置（2）至少经由所接收的传感器数据的一部分根据加密方法生成消息鉴权代码（MAC）。4.  根据权利要求2和3所述的方法，其特征在于，由控制和/或调节装置（2）将从传感器（1）接收的消息鉴权代码（MAC）或MAC的所接收的部分与由控制和/或调节装置（2）至少经由所接收的传感器数据的一部分生成的消息鉴权代码（MAC）或其一部分相比较。5.  根据权利要求1至4之一所述的方法，其特征在于，以比经由第二逻辑数据传输信道（11）传输安全数据（MAC；CMAC）更大的数据传输速率经由第一逻辑数据传输信道（10）传输传感器数据。6.  根据权利要求1至4之一所述的方法，其特征在于，传感器数据与安全数据（MAC；CMAC）经由相同的物理数据传输信道（3）传输。7.  根据权利要求1至6之一所述的方法，其特征在于，会话密钥（KS）与传感器数据和/或安全数据（MAC；CMAC）经由相同的物理数据传输信道（3）传输。8.  根据权利要求1至7之一所述的方法，其特征在于，由控制和/或调节装置（2）根据随机原理生成会话密钥（KS）。9.  根据权利要求1至8之一所述的方法，其特征在于，会话密钥（KS）在传输至传感器（1）之前由控制和/或调节装置（2）根据加密方法依据秘密密钥加密。10.  根据权利要求9所述的方法，其特征在于，根据加密方法依据秘密密钥对由传感器（1）接收的经加密的会话密钥（KS）解密，以求得用于传感器（1）的该会话密钥（KS）。11.  根据权利要求9或10所述的方法，其特征在于，选择用于对会话密钥（KS）加密和/或解密的加密方法，使得控制和/或调节装置（2）为了加密会话密钥（KS）能够使用解密算法（Dec），和/或传感器（1）为了对接收的经加密的会话密钥（KS）进行解密能够使用对应的加密算法（Enc）。12.  根据权利要求1至11之一所述的方法，其特征在于，对由传感器（1）生成的安全数据（MAC）在传输至控制和/或调节装置（2）之前进行加密，传输经加密的安全数据并且在控制和/或调节装置（2）中进行解密，以产生所述安全数据（MAC）。13.  根据权利要求9至11之一所述的方法，其特征在于，在传感器（1）和控制和/或调节装置（2）中使用相同的加密方法来对会话密钥（KS）加密和/或解密并且来生成消息鉴权代码（MAC）。14.  根据权利要求9至13之一所述的方法，其特征在于，作为用于对会话密钥（KS）加密和/或解密并且用于生成消息鉴权代码（MAC）的加密方法，使用根据高级加密标准（AES）的Rijndael算法。15.  根据权利要求2至14之一所述的方法，其特征在于，由在传感器（1）中生成的消息鉴权代码（MAC）仅将n比特、优选n个最高有效比特经由第二数据传输信道（11）传输至控制和/或调节装置（2）。16.  根据权利要求2至15之一所述的方法，其特征在于，经由待传输传感器数据或所接收的传感器数据的至少一部分以及经由计数器值来生成消息鉴权代码（MAC）。17.  根据权利要求16所述的方法，其特征在于，计数器值在可预定时刻、优选在每次会话开始时被初始化，和/或计数器值在可预定时刻、优选在每次生成消息鉴权代码（MAC）之后被增加或减少。18.  根据权利要求1至17之一所述的方法，其特征在于，经由根据从版本2.0开始的PSI5标准、优选根据用于在机动车驱动支路领域应用PSI5接口的子标准的接口在传感器与控制和/或调节装置（2）之间传输数据。19.  传感器，其被设置用于连接到电子控制和/或调节装置（2）并且被构造用于将传感器数据传输至该控制和/或调节装置（2），其中保护所传输的传感器数据和传感器（1）免遭操纵，其特征在于，该传感器（1）被构造用于实施根据权利要求1至18之一所述的方法。20.  控制和/或调节装置（2），其被设置用于连接到传感器（1）并且构造为从传感器（1）接收传感器数据，其中保护所传输的传感器数据和传感器（1）免遭操纵，其特征在于，该控制和/或调节装置（2）被构造用于实施根据权利要求1至18之一所述的方法。21.  网络，包括控制和/或调节装置（2）以及至少一个经由数据传输连接（3）而连接到该控制和/或调节装置的传感器（1），其中保护从该传感器（1）和控制和/或调节装置（2）传输的传感器数据和传感器（1）免遭操纵，其特征在于，该网络被构造用于实施根据权利要求1至18之一所述的方法。

说明书用于识别对传感器和/或传感器的传感器数据的操纵的方法
技术领域
本发明涉及一种用于在传感器与电子控制和/或调节装置之间传输数据的方法，其中识别对所传输的传感器数据和/或传感器的操纵。
本发明还涉及一种传感器，其被设置用于连接到电子控制和/或调节装置并且被构造用于将传感器数据传输至该控制和/或调节装置，其中设置用于识别对所传输的传感器数据和/或传感器的操纵的器件。此外，本发明涉及一种控制和/或调节装置，其被设置用于连接到传感器并且构造为从传感器接收传感器数据，其中设置用于识别对所传输的传感器数据和传感器的操纵的器件。最后本发明还涉及一种网络，包括控制和/或调节装置以及至少一个经由数据传输连接而连接到该控制和/或调节装置的传感器，其中设置用于识别对从该传感器传输至控制和/或调节装置的传感器数据和传感器的操纵的器件。
背景技术
由现有技术例如已知用于检测在机动车的机动车喷射系统的共同机动车存储器（所谓的共轨）中占主导的压力的压力传感器。在所测量的压力下保持在该存储器中的燃料是为了喷射到机动车的内燃机的燃烧室中而设置的。这种压力传感器连接到电子控制和/或调节装置（所谓的引擎控制单元，ECU）。在此压力传感器经由模拟的通信信道与ECU通信。模拟信道可以被相对简单地操纵，由此未经授权的人可以实现内燃机的功率升高（所谓的调谐）。该功率升高虽然对于设置有功率被升高的内燃机的机动车的驾驶员来说是有利的并且一般是该驾驶员所期望的，但是对于交通工具制造商来说这样的调谐是不可识别的并且是不可跟踪的。其缺点是，交通工具制造商过去容易受到由于内燃机的不允许的功率升高而产生的问题的困扰并且必须修理内燃机的缺陷，尽管这些缺陷可能归因于不允许的功率升高。一段时间以来传感器与ECU之间的很多模拟通信信道都被数字数据总线所代替。由现有技术已知大量识别对从传感器数字传输至ECU的传感器数据和/或传感器本身的操纵或保护传感器数据和/传感器以防操纵的可能性。
用于识别对所传输的传感器数据和/或传感器本身的操纵的对应方法例如由DE102009002396A1已知。很多已知的方法具有以下缺点：它们相对耗费并且复杂。它们对根据已知方法实现操纵识别所需要的软件和硬件具有相对较高的要求。因此在由所提到的文献已知的方法中例如需要：必须既在传感器中又在ECU中存储两个用于产生和验证用于在传感器与ECU之间传输的数据的鉴权代码（所谓的消息鉴权代码，MAC）的密钥。这需要在传感器以及ECU中存在附加的存储空间，其中存储空间尤其是在该传感器中拥挤而且昂贵。此外用于实现操纵防护的计算机程序由于方法的复杂性而相对耗费、计算强度大和存储器消耗大。此外需要明显的计算功率以便能够在可接受的处理时间内在传感器或ECU中处理完复杂的计算机程序。
发明内容
利用本发明应当提供一种用于识别对所传输的传感器数据和/或传感器本身的操纵的方法，该方法一方面与由现有技术已知的复杂方法类似地满足高的安全要求，另一方面比已知方法显著更简单和更快速，并且尤其是提出比已知方法更小的软件或硬件要求。
应当利用本发明加以解决的问题因此是提供一种机构，其允许ECU以及稍后允许交通工具制造商检测和跟踪发动机调谐。确切地说，应当探测对从传感器传输至ECU的传感器数据的任何类型的操纵。此外所建议的操纵识别应当以关于实现所需要的芯片面积、处理器的处理功率和存储需求的尽可能小的成本，尤其是以关于安全的、非易失存储器的尽可能小的成本提供。
为了解决该任务从开头所述类型的方法出发建议，传感器数据经由具有第一数据传输速率的第一逻辑数据传输信道从传感器传输至控制和/或调节装置（ECU），并且用于保证所传输的传感器数据和/或传感器的安全的安全数据经由具有第二数据传输速率的第二逻辑数据传输信道从传感器传输至控制和/或调节装置，以及至少一次在会话（所谓的Session）开始时经由第三逻辑数据传输信道将会话密钥（优选以加密的形式）从控制和/或调节装置（ECU）传输至传感器并且由传感器接收和必要时加以解密。会话密钥由传感器至少为了正在进行的会话而被用于生成安全数据。
本发明的特征在于，为了识别对传感器和由传感器传输的数据的操纵只需要一个密钥，并且必须存储在传感器和控制和/或调节装置中。借助该一个密钥既可以对从传感器传输并由控制和/或调节装置接收的数据进行完整性检验又可以对传感器执行隐性的鉴权。如果传感器获得经过操纵的会话密钥或不能正确地对所接收的会话密钥解密，则对于传感器和ECU存在不同的密钥，这由ECU识别并且可以被评估为操纵。即使传感器获得正确的密钥，但是所传输的传感器数据在从传感器传输至ECU期间已经通过其它方式被操纵，ECU同样能探测到这一点并且评估为操纵。
根据本发明的有利扩展建议，在使用会话密钥的情况下由传感器根据密码算法（例如在对应模式中的区块编码器）至少经由待传输的传感器数据的一部分生成消息鉴权代码（Message Authentication Code，MAC）并且至少部分地经由第二数据传输信道作为安全数据传输至控制和/或调节装置并由该控制和/或调节装置接收。用于生成MAC的该密码算法优选也是对称密码系统。特别优选的是，所使用的算法是根据高级加密标准（AES）的Rijindael算法。但是任意的其它替换的对称密码系统（下面还要示例性地讲述其中几个）也可以在本发明的含义下用于生成MAC。MAC不必经由所有待传输的传感器数据生成。完全可能的是：MAC仅经由待传输传感器数据的一部分生成。这可以是传感器数据的定义的、预定部分或者是传感器数据的动态选择的部分。优选的，在使用会话密钥的情况下被用于经由待传输传感器数据的至少一部分生成MAC的密码算法是也由传感器用于对接收的经加密安全数据解密并且求得会话密钥的相同的算法。
MAC例如具有128比特的长度。为了节省在经由逻辑数据传输信道传输MAC时的带宽可以考虑，经由数据传输信道不是将整个MAC，而是仅将其一部分传输至控制和/或调节装置（ECU），例如仅传输MAC的n个最高有效比特（所谓的最高有效比特MSB）。由此例如可以考虑，如果整个MAC包括128比特，则仅传输64个MSB。当然MAC还可以具有任何其它更大或更小的长度。所传输的比特的数目可以被所说明的64比特更大或更小。当然也不需要传输MAC的前面n个MSB。还可以考虑从MAC中有针对性地选择任意比特用于经由第二数据传输信道传输数据。MAC的仅一部分的传输于是尤其是当使用缓慢的信道来传输安全数据时是特别感兴趣的。
根据优选的实施方式进一步建议，在使用会话密钥的情况下由控制和/或调节装置至少经由所接收的传感器数据的一部分根据密码算法生成消息鉴权代码（MAC）。因此借助在会话开始时从ECU传输至传感器的会话密钥，在实际的数据传输期间既在传感器中生成第一MAC又在ECU中生成另一MAC。由于在传感器中生成的MAC被传输至控制和/或调节装置，因此在那里有两个MAC可供使用并且可以被用于识别操纵。优选的，在传感器和控制和/或调节装置中使用相同的算法来生成MAC。在ECU中使用的用于生成MAC的密码算法优选也是对称密码系统。特别优选的是，这是根据AES的密码系统。下面讲述的、对称密码系统的其它替换也可以由ECU作为密码算法用于在本发明的含义下生成MAC。由ECU用于生成MAC的密码算法优选是也由传感器用于生成MAC的相同的算法。
建议传感器被构造为，经由待传输或所接收的传感器数据的至少一部分并且经由计数器值生成MAC。该计数器值可以在可预定的时刻、优选在每个会话开始时被初始化。此外计数器值可以在可预定的时刻、优选在每次生成MAC之后增加或减小。
特别优选的还有：MAC在ECU中不仅经由所接收的传感器数据的至少一部分、而且还经由计数器值生成。这是也在传感器中用于生成MAC的相同计数器值。可以考虑，传感器以及ECU自动地对计数器值进行初始化，例如在会话（所谓的session）开始时，并且然后在预定时刻或者在预定事件的情况下增加或减少所述计数器值，例如在计算了MAC之后。但是替换地也可以仅在ECU初始化该计数器值并且增加或减少该计数器值。然后该计数器值可以从ECU传输至传感器，例如经由第三逻辑数据传输信道。
根据本发明的特别优选的扩展建议，由控制和/或调节装置将从传感器接收的消息鉴权代码（MAC）或MAC的所接收的部分与由控制和/或调节装置至少经由所接收的传感器数据的一部分生成的消息鉴权代码（MAC）或其一部分相比较。如果在传感器中以及在控制和/或调节装置使用相同的算法来生成MAC，则在正常情况下（也就是说，没有对会话密钥的操纵，没有对所传输的数据的操纵）两个MAC相同。这可以通过在控制和/或调节装置中进行的两个MAC的比较来加以验证。如果两个MAC或它们的对应部分相同，则可以假定：传感器具有正确的总密钥，因为否则传感器没有对会话密钥正确地解密并且不能正确地产生MAC。由此同时保证，所使用的传感器——传感器数据就是从该传感器接收的——是可信的传感器（经由仅传感器和控制设备已知的秘密密钥隐含地对该传感器鉴权）。此外，两个MAC的一致是所传输的传感器数据和由ECU接收的传感器数据未被操纵（数据完整性）的象征。但是如果两个MAC不同，则这是会话密钥和/或所传输的数据被操纵的象征。为了能够排除由于传感器与控制设备之间的传输误差而导致的不同MAC，可以例如基于误差概率和对应的统计数据在控制设备侧实现合适的算法。在操纵的情况下，可以采取合适的对抗措施（例如落入机动车的误差存储器，转换为内燃机的故障安全运行，将通知传送至交通工具制造商等）。
此外建议，以比经由第二逻辑数据传输信道传输安全数据更大的数据传输速率经由第一逻辑数据传输信道传输传感器数据。由此第一数据传输信道形成快速逻辑信道，而第二数据传输信道形成缓慢逻辑信道。这样的使用快速和缓慢数据传输信道的数据传输机制例如可以在传感器与ECU之间的数字通信总线中通过以下方式实现，即在提供给数据传输的带宽中将较大的部分用于传输快速数据传输信道的数据并且将较小的部分用于传输缓慢数据传输信道的数据。如果传感器与ECU之间的数据传输以定义的、预定长度的消息分组来进行，则例如可以考虑：该消息分组的大多数比特被用于传输快速数据传输信道的数据，并且该消息分组的少量比特、可能仅有单个或数个少量比特被用于传输缓慢数据传输信道的数据。如果被用于在一个消息分组中传输缓慢数据传输信道的数据的比特数目不足以在可接受的传输时间内传输识别对所传输的传感器数据和/或传感器的操纵所需要的安全数据，则可以考虑使用多个消息分组来传输安全数据。为此安全数据或对应的数据流可以在发送器处被划分（所谓的分割），待传输的安全数据或数据流的分别仅一部分（所谓的区段）经由消息分组的缓慢数据传输信道传输，并且在接收器处将经由缓慢数据传输信道接收的、不同消息分组的部分重新组合成安全数据（所谓的串接、反分割或组装）。在此，不仅每通信周期可以有一个消息分组用于传输安全数据，而且每周期可以使用多个分组。
可以考虑传感器数据可以与安全数据经由相同的物理数据传输信道传输。该物理数据传输信道例如可以是一个电缆或导线、多个共同使用的电缆或导线（例如在借助差信号传输数据时）或者无电缆的数据传输连接，例如借助无线电连接或红外连接。此外有利的是（但是不是必要的），会话密钥与传感器数据和/或安全数据经由相同的物理数据传输信道传输。同样可以考虑，第三逻辑信道是第一或第二逻辑信道的组成部分，即会话密钥经由第一或第二逻辑信道传输。为此需要使相应的第一或第二数据传输信道支持双向数据传输。
为了实现缓慢数据传输信道还可以考虑，安全数据或其一部分不在每个所传输的消息分组中一起传输，而是安全数据或其一部分仅在每第x个消息分组中传送（                                                并且x>1）。同样在基于周期的通信系统中可以考虑，不在每个通信周期中使用消息分组来传送安全数据，而是仅在每第x个周期中使用消息分组来传送安全数据。
用于在传感器与ECU之间实现快速和缓慢数据传输信道的例子例如是根据从版本2.0开始的PSI5标准的通信系统。根据该标准，为了在传感器与ECU之间传输数据而设置通信信道（所谓的Communication Channel）以及控制信道（所谓的Messaging Channel，消息收发信道）。通信信道在本发明的含义下可以用作快速数据传输信道，而控制信道在本发明的含义下可以用作缓慢数据传输信道。通常，根据PSI5标准经由缓慢控制信道例如传输当前的、由传感器检测的温度值、传感器的标识（所谓的ID）、传感器的版本号或传感器上现有的软件、传感器的诊断数据等。根据本发明规定，替换或附加于这些数据地经由控制信道传输用于保护所传输的传感器数据和/或传感器免遭操纵的安全数据。
根据本发明的另一有利扩展建议，由控制和/或调节装置（ECU）生成会话密钥。根据另一优选实施方式还可以考虑，会话密钥在传输至传感器之前由控制和/或调节装置依据秘密密钥加密。有利地，依据秘密密钥对由传感器接收的经加密的会话密钥解密，以求得该会话密钥。因此该秘密密钥从一开始就既在传感器又在ECU处已知。该秘密密钥被存储在传感器以及ECU中的存储器中，优选存储在非易失存储器中。优选地，由传感器用于对所接收的经加密的会话密钥解密并且用于求得会话密钥的密码算法是由传感器也用于在使用会话密钥的情况下经由待传输的传感器数据的至少一部分生成MAC的相同算法。此外，由ECU用于在将会话密钥传输至传感器之前加密该会话密钥的密码算法优选是由ECU也用于在使用该会话密钥的情况下至少经由所接收的传感器数据的一部分生成MAC的相同算法。
在理想情况下，秘密密钥仅被传感器和ECU已知。但是也可以考虑，秘密密钥例如存储在传感器的制造商、机动车制造商或其它经授权机构（个人，企业或当局）那里或者可以在需要时通过其它方式由他们再次产生。这样做的优点是：在更换传感器时匹配的秘密密钥可以被复制到ECU的存储器中，由此ECU可以按规定与新的传感器通信，尤其是由此可以通过ECU识别对所传输的传感器数据和/或传感器的操纵。仅当传感器以及ECU都具有相同的秘密密钥时，传感器才可以求得正确的会话密钥，该正确的会话密钥又是保护传感器数据的随后传输以及探测到操纵的前提。由于在传感器中会话密钥是依据秘密密钥生成的并且是生成用于从传感器传输至ECU的传感器数据的消息鉴权代码（MAC）所需要的，因此传感器的真实性以及所产生的数据的完整性在控制和/或调节装置中仅当传感器以及ECU都拥有相同的共同秘密密钥时才被验证为正确的和按规定的。
根据本发明的另一有利扩展建议，选择用于对会话密钥加密和/或解密的算法，使得控制和/或调节装置（ECU）为了加密会话密钥可以使用解密算法，而传感器为了对接收的经加密的安全数据进行解密可以使用对应的加密算法。这在为了加密或解密会话密钥而使用具有对称秘密密钥的对称加密算法时是可能的，其中该算法必须支持以下功能：为了解密可以使用加密算法和/或为了加密可以使用解密算法。优选地，将区块编码器（与流编码器相反）用于对会话密钥加密和/或解密。该扩展的优点是：在传感器一侧只需要实现合适的对称加密算法（实际上在用于生成MAC数据的对应模式中）并且附加地也不需要实现解密算法（实际上用于解密经加密的会话密钥）。
作为密码算法可以如所述那样采用任意的加密算法，其中该加密算法应当支持以下功能：为了解密可以使用加密算法和/或为了加密可以使用解密算法。优选地，作为密码算法采用区块编码器。特别优选的是，为了对会话密钥加密和解密使用根据高级加密标准（AES）的Rijndael算法形式的对称密码系统。除了AES加密标准之外还存在大量其它对称密码系统，这些对称密码系统适于与本发明关联地使用，例如DES（数据加密标准）或Lucifer、三重DES、IDEA（国际数据加密算法）、Blowfish、Twofish、CAST-128或CAST-256、RC2、RC5或RC6（Rivest Cipher）、PRESENT，仅举几例。完全可以考虑将来开发其它同样可以在本发明中使用的对称密码系统。利用已知的或将来的密码系统也可以实现本发明。
为了防止通过恢复相同的数据而对数据传输进行攻击（所谓的重放攻击），根据一种特别优选的实施方式建议，既经由待传输传感器数据的至少一部分又经由计数器值来生成MAC。计数器值在任意时刻、优选在每次会话（所谓的Session）开始时被初始化。此外计数器值在特定的时间上受控的或由事件控制的时刻、优选在每第x次生成消息鉴权代码（MAC）之后被增加或减少，其中。通过这种方式可以保证：数据——基于所述数据生成所述MAC——每次都不同，尽管待传输的传感器数据本身可能相同。由此即使对每次相同的传感器数据也产生不同的鉴权代码（MAC）。重放攻击可以通过这种方式被有效和高效率地防止。
此外特别优选的是，经由根据从版本2.0开始的PSI5标准、优选根据用于在机动车驱动支路领域应用PSI5接口的子标准的接口在传感器与控制和/或调节装置（ECU）之间传输数据。这是数字数据传输总线，该数据传输总线被构造为从一个或多个传感器连接到ECU。
本发明所基于的任务还通过开头所述类型的传感器解决，该传感器具有用于实施根据权利要求1，2，5，6，10至16之一的本发明方法的器件。此外该任务通过一种控制和/或调节装置（ECU）解决，其具有用于实施根据权利要求1，3至9和11之一所述的本发明方法的器件。最后，本发明所基于的任务还通过开头所述类型的网络解决，该网络具有用于实施本发明方法的器件。
附图说明
下面借助附图通过优选实施例详细阐述本发明。本发明还可以具有相互独立的以及以任意相互组合的参照所描述的实施例说明的特征和优点，即使它们在图中未详细示出或未在说明书中详细提到。
图1示出本发明方法的第一片段；
图2示出本发明方法的第二片段；以及
图3示出为了实现多个逻辑数据传输信道的、多个经由数据传输连接传输的数据帧的例子。
具体实施方式
本发明涉及一种用于在传感器与电子控制和/或调节装置（ECU）之间传输数据的方法。在此可以识别对所传输的传感器数据和/或传感器的操纵。在图中示例性示出传感器A，该传感器用附图标记1表示。控制和/或调节装置（ECU）B用附图标记2表示。传感器1优选经由数据传输连接3形式的物理数据传输信道与ECU2连接。数据传输连接3例如包括双线线路。在数据传输连接3上实现多个逻辑数据传输信道，数据经由这些了逻辑数据传输信道在传感器1与ECU2之间传输。传感器1例如被构造为用于检测在机动车的内燃机的燃料喷射系统的共同燃料存储器（例如共轨）中的燃料压力的压力传感器。这样的传感器1检测在燃料存储器中占主导的燃料压力并且将所检测的压力值作为传感器数据经由数据传输连接3传送至ECU2。ECU2于是与此对应地被构造为用于控制和/或调节喷射系统的控制设备，尤其是用于控制和/或调节燃料存储器中的燃料压力。
假定在传感器1的存储器中以及在ECU2的存储器中存储相同的秘密密钥。该秘密密钥优选是对称的秘密密钥，在实施本发明的方法之前该秘密密钥被存储在分配给传感器1的第一存储器中以及分配给ECU2的第二存储器中。优选地，存储器是非易失的内部存储器，所述内部存储器不知在传感器1或ECU2的外壳中。秘密密钥在理想情况下仅被传感器1和ECU2已知。在实践中秘密密钥例如来自传感器制造商、机动车制造商或来自任意第三方，例如来自证书地点。
本发明的方法被分为两个片段。第一片段在图1中示出，第二片段在图2中示出。第一片段包括通过ECU2生成会话密钥KS（步骤4）。会话密钥KS的生成基于随机数。新会话密钥KS的生成可以在会话（所谓的Session）期间的任何时刻根据需要（按需）进行。可以考虑在会话开始时例如在开动点燃（连接块15）之后生成会话密钥KS。此外可以考虑替换或附加地在其它时刻和/或在会话期间出现特定事件之后生成新的会话密钥KS。通过这种方式总是以短的时间间隔（每x秒或甚至每x毫秒）提供新的会话密钥。
然后随机生成的会话密钥KS由ECU2借助合适的加密方法用共同的秘密密钥加密并且传输给传感器1（步骤5）。为了传输经加密的会话密钥KS，使用经由数据传输连接3实现并且称为“第三数据传输信道”的逻辑数据传输信道。传感器1自身能够通过以下方式求得会话密钥KS，即该传感器在使用共同秘密密钥的情况下利用已被ECU2用于加密的相同方法或利用与之匹配的解密方法对所接受的经加密的数据解密（步骤6）。由此于是只要传输是正确的并且在两个用户1，2中已知相同的秘密密钥，由ECU2为了即将到来的会话生成的会话密钥KS就被两个用户，即ECU2和传感器1已知。第一片段在图1中示出。
用于在ECU2中对会话密钥KS加密以及用于在传感器1中对会话密钥KS解密的加密方法被选择为，使得为了在ECU2中加密可以类似地使用该方法的加密和解密算法，并且为了在传感器1中解密类似地相反对等地（gegengleich）使用加密和解密算法。这允许为了对会话密钥KS加密在ECU2中使用解密算法（Dec）。与此相对应地，在传感器1中为了对会话密钥KS解密使用加密算法（Enc）。这尤其是当为了在ECU2中对会话密钥KS加密（Dec）以及为了在传感器1中对会话密钥KS解密（Enc）而应用按照具有对称的共同密钥、即秘密密钥的对称密码系统形式的方法，该方法允许交换加密算法和解密算法。优选地，所使用的对称密码系统是高级加密标准（AES）的Rijndael算法。除了AES加密标准之外还存在大量其它适合与本发明关联使用的对称密码系统，尤其是任意的区块编码器。其例子是DES（数据加密标准）或Lucifer三重DES、IDEA（国际数据加密算法）、Blowfish、Twofish、CAST-128或CAST-256、RC2、RC5或RC6（Rivest Cipher）和PRESENT，仅举几例。
原则上可以使用具有足够大的秘钥长度的任意标准化的、安全的对称加密，例如高级加密标准（AES）。优选地建议128比特的秘钥长度。通过使用对称的加密方法可以在使用秘密密钥的情况下不仅通过AES的加密功能（EncAES）而且通过解密功能（DecAES）对会话密钥KS加密，其方式是完全利用加密方法的特殊特性。这意味着，加密功能（EncAES）可以被用于对在传感器1中接收的经加密的安全数据（会话密钥KS）解密。其优点是：在传感器1一侧只需要实现加密功能（Enc），该加密功能既可以用于对会话密钥KS解密也可以用于生成消息鉴权代码（所谓的Message Authentification Code，MAC），下面还将对此详细阐述。因此，可以有效地使用在传感器1中所提供的资源。尤其是可以相对于已知的实现减小ASIC（专用集成电路）的所需面积，在已知的实现中需要在传感器中既设置加密功能又设置解密功能。如果传感器应当在相同的AES单元中既支持解密（Dec）又支持加密（Enc），则这导致所需要的芯片面积提高大约50%。
在实施了第一方法片段（参见图1）之后，会话密钥KS既在ECU2中又在传感器1中已知并且可以针对正在进行的会话用于对所传输的传感器数据进行完整性检验和对传感器1进行鉴权。在会话期间（连续实施的）第二方法片段在图2中示出。
图2示出在传感器1与ECU2之间的两个单独的、逻辑通信或数据传输信道10，11，这些逻辑通信或数据传输信道可以被用于在传感器1与ECU2之间经由数据传输连接3的数据传输并且称为“第一数据传输信道”和“第二数据传输信道”。为了传输数据，例如在机动车驱动支路的领域中使用PSI5接口v2.0以及尤其是用于应用PSI5接口的子标准。第一逻辑数据传输信道10被用于传输传感器数据，例如共轨系统的共同燃料存储器的压力数据，而用于保护所传输的传感器数据和/或传感器1的安全、尤其是用于识别对传感器数据和/或传感器1的操纵的安全数据经由第二逻辑数据传输信道11传送。优选地，第一数据传输信道10的数据传输速率大于第二数据传输信道11的数据传输速率，从而第一信道10也称为快速信道，而第二信道11也称为缓慢信道。通过将传感器数据和安全数据划分到第一和第二逻辑数据传输信道10，11，保证了通过所建议的安全措施不会在传输传感器数据时产生附加延迟并且不会给传感器数据叠加干扰。等待时间被保持得尽可能地小。
不同的逻辑数据传输信道的实现可以通过不同方式进行。图3示出用于在不同的逻辑数据传输信道中经由唯一的物理数据传输信道3传输数据的可能实现方式。从传感器1至ECU2的数据传输在此在数据传输帧#1，#2，#3进行。当然还可以使用比所绘制的三个数据帧#1，#2，#3更多或更少的数据帧来用于传输数据。可以设置经由连接3的数据帧#1，#2，#3的连续流，或者仅当实际上应当传输传感器数据和/或MAC时才传输数据帧#1，#2，#3。每个数据帧#1，#2，#3都被划分为字段，这些字段分别与特定的数据大小、例如一个或多个比特对应。向每个逻辑信道分配特定数目的字段。从而在图3的例子中项第一逻辑信道k1分配一个字段，向第二逻辑信道k2分配三个字段，向第三逻辑信道k3必要时分配3个字段，并且向第四逻辑信道k4又仅分配一个字段。
当然对每个数据帧#1，#2，#3还可以设置不同数目的逻辑信道。此外对每个数据帧#1，#2，#3还可以设置比所显示的4个逻辑信道k1，k2，k3，k4更多或更少的逻辑信道。此外可以考虑，信道k2，k3还可以包括比所显示的3个字段更多或更少的字段，或信道k1，k4还可以包括比所显示的一个字段更多或更少的字段。
因此每个数据帧#1，#2，#3，也就是每个时间单位对第一信道k1传输一个字段的数据，对第二信道k2传输三个字段的数据，对第三信道k3同样传输3个字段的数据，并且对第四信道k4又传输一个字段的数据，并且由ECU2接收。因此利用第一和第四信道k1，k4实现逻辑数据传输信道，该逻辑数据传输信道具有比第二和第三信道k2，k3更缓慢的传输速率。可以考虑使用缓慢信道之一k1或k4作为本发明的数据传输信道11来传输MAC或CMAC。同样可以考虑使用更快速的信道之一k2或k3作为本发明的数据传输信道10来传输传感器数据。
用各个数据帧传输的各个信道k1，k2，k3，k4的数据在接收器、在此也就是在ECU2中临时存储并且在接收了所需要数目的数据帧#1，#2，#3之后被组合为所传输的数据。如果例如经由缓慢信道之一k1或k4传输的数据（例如安全数据，如MAC或CMAC）包括64比特并且数据帧#1，#2，#3的各个字段分别是8比特大小，则必须接收8个数据帧，直至ECU2有所传输的数据的所有64比特可用为止。对应地也适用于经由快速信道之一k2或k3传输传感器数据。这负荷在此描述的逻辑层面。在协议层面上所传输的数据严格地说不仅仅由有用数据组成，而是包含附加数据，这些附加数据是协议（例如帧起始序列和帧结束序列，帧-ID…）或错误识别或错误校正（例如帧校验序列FSC、循环冗余校验CRC…）所需要的。
因此总之，数据帧#1，#2，#3的有用数据容量的第一部分被用于传输传感器数据。数据帧#1，#2，#3的有用数据容量的另一部分被用于传输安全数据（例如MAC或CMAC）。优选地，被用于传输安全数据的、数据帧#1，#2，#3的有用数据容量（其例如只有几比特）小于被用于传输传感器数据的有用数据容量（其例如是几十、几百、几千或更多比特）。通过这种方式可以简单和有效率地实现缓慢逻辑数据传输信道11和快速逻辑数据传输信道10。此外可以考虑通过以下方式实现缓慢数据传输信道11，即MAC或CMAC的部分不是在每个数据帧#1，#2，#3中，而是仅在每第x个数据帧中传输（其中x是大于1的自然数）。
根据第二方法片段（参见图2）的安全措施用于检验传感器数据的完整性并且附加地用作传感器1对ECU2在第一方法片段（参见图1）中的隐含提问的鉴权响应。该安全措施因此包括传感器1的隐含鉴权。具体地说，所有经由快速数据传输信道10传输的传感器数据都通过消息鉴权代码（MAC）保护，该MAC借助会话密钥KS产生并且由于经由缓慢数据传输信道11传送。由于MAC是借助密钥（或编码器）例如根据AES产生的，因此MAC也称为基于密码的MAC（CMAC）。可以考虑在从传感器1传输至ECU2之前对MAC或CMAC加密。CMAC例如基于AES128和会话密钥KS，该会话密钥是在第一方法片段（参见图1）中传送给传感器1或在那里根据从ECU2接收的经加密的数据来产生的。隐含的鉴权表示，会话密钥KS在第一方法片段中只能由可信的传感器1解密。只有这样的可信的传感器1才拥有关于秘密密钥的知识。
在传感器1中，将经由快速数据传输信道10传输的传感器数据或者选择的其中一部分馈入CMAC算法中，该CMAC算法使用会话密钥KS作为密钥。在传输了传感器数据的特定数据集合之后，生成CMAC值。该CMAC值经由所有传感器数据或者选择的一部分传感器数据生成。该CMAC经由缓慢数据传输信道11传送至ECU2。随后由传感器1检测的传感器数据于是又被馈入CMAC算法中并被用于生成下一个CMAC值。传感器数据的在其基础上生成CMAC的集合尤其是取决于在缓慢数据传输信道11上的可用带宽、针对比特错误的鲁棒性以及安全要求。
此外CMAC值还可以经由计数器值RA生成。计数器值RA保护协议免遭通过重放的攻击（所谓的重放攻击），因为该计数器值防止相同的传感器值导致相同的CMAC。因此，由于考虑了计数器值RA，即使是相同的传感器值也具有不同的CMAC。计数器值RA优选地分别在新会话（所谓的Session）开始时被初始化为0或者其它起始值。但是也可以分别由ECU2产生计数器初始值并且与会话密钥KS一起或分开地传送给传感器1（加密或不加密）。由此可以附近地提高针对重放攻击的鲁棒性。
但是计数器值RA也可以在正在进行的会话期间被初始化。新的会话可以分别通过传输新的会话密钥KS来加以定义。计数器值RA在时间控制或事件控制的时刻既在传感器1中又在ECU2中增加或减少1或者增加或减少任意其它值，优选在每次生成CMAC之后。替换地还可以考虑，计数器值RA仅在ECU2中被初始化并且增加或减少，然后例如经由缓慢数据传输信道11定期传输至传感器1。
在ECU2一侧实施相同的计算，同样在使用会话密钥KS、计数器值RA和经由快速数据传输信道10由传感器1接收的传感器数据。这些计算被实施以及传感器数据在ECU2中累积并且与通过ECU2对传感器数据的其它处理并行地。一种真正的并行处理可以通过以下方式实现，即硬件安全模块（HSM）在ECU2中可用，该硬件安全模块提供用于基于AES的CAMC的硬件支持。因此通过所建议的安全机制在ECU2中不会得出通过ECU2进行的常规传感器数据分析的延迟。在ECU2中的计算同样包括在使用会话密钥KS的情况下经由进入的传感器数据或其一部分以及必要时经由计数器值RA生成MAC。如果由传感器1生成的MAC在传输至ECU2之前被加密，则在ECU2中对进入的CMAC解密。然后将在ECU2中生成的MAC与在ECU2中从传感器1经由缓慢数据传输信道11接收的MAC相比较。如果两个MAC值相同，则可以由此推断：在传感器1一侧被用于生成MAC的传感器数据以及会话密钥KS与在ECU2一侧被用于生成MAC的对应值相同。具体地通过以下示出：
-传感器1具有关于由ECU2生成的当前会话密钥KS的知识。　
-这隐含地表示：传感器1能够在使用秘密密钥的情况下对会话密钥KS解密并且由此还具有关于正确的秘密密钥的知识。　
-由ECU2接收的传感器数据是由传感器1发送的相同传感器数据。这隐含地表示：没有出现对数据的操纵并且没有出现传输错误。　
-计数器值RA在传感器1以及ECU2中都是相同的。这意味着：没有出现通过重放的攻击（重放攻击）并且由此得到在ECU2中接收的传感器数据的完整性。
如果在ECU2中两个MAC值的比较显示MAC是不同的，则假定输入参量（，KS，RA）的一个或多个不是相同的或者在传感器1中传送了与在ECU2中接收的不同的传感器数据，和/或数据传输有错，例如由于该数据传输受到了操纵。有利地在推断出传感器1未经鉴权或传感器数据受到操纵之前，允许存在一定数目的错误（不一致的）MAC。所允许的错误MAC的数目取决于所有参与的通信信道的比特错误率（BER），这些通信信道也就是对于传感器值的（快速）第一信道10、用于MAC的（缓慢）第二信道11以及必要时用于ECU至传感器通信的第三信道。为了在此排除错误或为了将基于通信错误的错误概率压制到低于期望安全水平的可接受边界值，可能需要多次针对传感器1（在最简单的情况下是新会话密钥KS的传输）实施鉴权方法。通过允许特定数目的错误MAC，可以将基于唯一的一次有错传输而错误地推断传感器1受到操纵或传感器数据受到操纵的概率减小到期望的安全水平。
通过基于合适的对称加密、尤其是合适的区块编码器来使用MAC规则，可以在两侧、即在传感器1中以及在ECU2中彼此无关地计算MAC。与基于签名的规则不同，在本发明中仅将MAC的一部分相互比较即足以。这可以被用于减小为了实现操纵防护而要传输的安全数据的量。由此例如可以考虑仅传送一部分传感器生成的MAC，例如在128比特长的MAC情况下仅传输64个最高有效比特（Most Significant Bits，MSB），并且在ECU2一侧与ECU生成的MAC的对应部分相比较。
包含对会话密钥KS的使用的本发明所建议的规则以及对应的实现具有一系列优点：
-每个会话密钥KS仅被用于特定的持续时间和有限数目的比特。此后生成新的会话密钥KS，传输至传感器1并且针对随后的会话被用于生成MAC或CMAC。出于该原因本发明的方法与用于MAC处理的静态密钥相比更不易受到旁路攻击（所谓的Side Channel Attack）。因此会话密钥KS是动态密钥。　
-不同的密钥，也就是秘密密钥和会话密钥KS被用于鉴权和完整性检验。　
-只有一个密钥，即秘密密钥必须永久地并且安全地存储在传感器1和ECU2中。由此减小针对存储器的成本以及其它与使用（新的或附加的）秘密密钥重新写入存储器关联的成本。　
-使用解密功能（Dec）对会话密钥KS加密并且使用加密功能（Enc）对会话密钥KS解密减小了传感器1的成本和复杂度，因为在那里只需要实现加密功能(Enc)。这与使用合适的对称密码系统、尤其是合适的区块编码器有关。　
-在本发明的方法中隐含地包含用于对传感器1鉴权的查询和响应，由此可以减小用于传感器至ECU通信的协议的复杂度、计算功率和成本，因为不需要专用的消息来用于鉴权。这减少了实现耗费以及与此关联的成本，尤其是在传感器1一侧。　
-所传输的传感器数据优选地未被加密。由此不需要在ECU2一侧对所接收的传感器数据解密，由此可以将等待时间保持地尽可能地小。在ECU2中对传感器数据的处理可以自己在接收了该传感器数据之后开始，而无需首先对所述传感器数据解密。
本发明所建议的方法具有以下特性：
-“真正的”传感器1可以隐含地被鉴权。　
-所传输的传感器数据的完整性可以得到检验。　
-基于所建议的安全实现，从ECU2的角度看对于传感器数据没有附加的延迟。　
-实现了用于鉴权和用于完整性保护的不同密钥（，KS）。　
-即使在高比特错误率（BER）的情况下也仅存在时间上非常有限的操纵窗口（例如小于3小时），因为对数据的操纵可以被相对快速地识别。这尤其是与在MAC中所使用的数据的量以及被接受的“错误”MAC的数目有关。　
-使用隐含的鉴权步骤的简单协议，由此需要更少的硬件和软件资源。　
-最小的资源仅包括对称的密码密钥（），其必须安全地存储在传感器1和ECU2中，并且在传感器1一侧仅包括对称的加密（Enc），例如AES加密。由此在传感器1一侧不需要实现解密（Dec）。　
-使用会话密钥KS并且定期更换该密钥，由此减小通过差分功率分析（DPA）对传感器1或传感器至ECU的易损坏性。