技術(shù)領域

本公開內(nèi)容涉及用在車載遠程信息通信系統(tǒng)(vehicle?telematics?system)或智能計量系統(tǒng)(smart?metering?system)中的數(shù)據(jù)處理設備，并涉及例如用于在公路定價中操作這種設備的方法。

背景技術(shù)

圖1以示意性形式說明與遙測技術(shù)相關的一般概念，其中用戶實體1可以訪問遠程裝置2，裝置2包括主控制器3和本地數(shù)據(jù)庫4。在這種一般情況中，用戶或外部實體1能夠經(jīng)由雙向通信鏈路5使用裝置2，以將某些輸入數(shù)據(jù)轉(zhuǎn)換成輸出數(shù)據(jù)。與遙測技術(shù)一樣，這種系統(tǒng)可以應用在其它情況中，如智能計量，包括能量使用的遠程監(jiān)控。

這種情況中所關心的一個問題是外部用戶實體1如何可以確信裝置1確實針對給定的輸入產(chǎn)生了正確的輸出。換句話說，問題是如何保護在該裝置中運行的進程(process)的完整性(integrity)，特別是防止篡改攻擊。

考慮到上述問題，存在可能遭受攻擊者20篡改的三種不同的資源，如圖2所述。這些攻擊為：

1.企圖修改I/O數(shù)據(jù)本身的攻擊(箭頭21)，無論是提交(summit)給裝置2之前的輸入數(shù)據(jù)還是由裝置2產(chǎn)生之后的輸出數(shù)據(jù)6；

2.企圖修改在主控制器3上運行的進程的攻擊(箭頭22)；以及

3.企圖修改在數(shù)據(jù)庫4中本地存儲的主數(shù)據(jù)(箭頭23)。

可以利用旨在保護上文列出的資源的完整性的多種解決方法，其示例包括以下幾種：

(1)對于I/O數(shù)據(jù)6，典型的解決的方案是使用簽名算法，其中數(shù)據(jù)在輸入處由用戶實體1簽名，并且在裝置2的輸出處由主進程3回簽名(sign?back)，因此通過允許檢測任何修改而保護數(shù)據(jù)6的完整性，已知為篡改證據(jù)。

(2)使用可信任平臺模塊(TPM)，安全加密處理器可以用來主要通過兩種機制保護主進程：遠程證明和封閉存儲。遠程證明形成主進程狀態(tài)的加密簽名以向遠程實體證明主控制器處于給定狀態(tài)。封閉存儲以它僅可以由處于正確狀態(tài)時的主進程解密的方式加密數(shù)據(jù)。TPM主要用在個人計算機中，例如用于向遠程支付服務器證明在將進行支付的計算機中不存在任何特洛伊木馬、病毒、密鑰記錄器等。TPM還可以用于數(shù)字版權(quán)保護(DRM)應用。

(3)′智能卡′的使用是另一種已知的解決方案。安全智能卡包括嵌入塑料卡中的高度安全芯片。嵌入的芯片被設計為不易受任何篡改攻擊，使得非常難以改變或探究芯片中存儲的進程和數(shù)據(jù)。智能卡用于安全支付應用，其中金錢電子數(shù)值存儲在卡中(′電子錢包′)，或者用于安全訪問控制應用，其中允許訪問設備或網(wǎng)絡的安全密鑰存儲在卡中(如，SIM卡)，或者用于身份識別應用，其中簽名密鑰存儲在卡中(如，電子護照)。

TPM的缺點是這基本上是靜態(tài)保護，僅證明控制器在某個時間處于某種核實狀態(tài)，并且準備處理安全敏感數(shù)據(jù)。TPM不提供針對已經(jīng)達到核實狀態(tài)之后的攻擊或硬件篡改攻擊的防護。TPM方案還需要來自操作系統(tǒng)和主控制器的深度支持。

另一方面，智能卡提供動態(tài)保護，即，不僅保護進程的狀態(tài)，而且保護這種狀態(tài)如何隨著時間的過去而發(fā)展，但由于需要特定的設計和制造工藝而是不便利的。智能卡通常還具有非常有限的處理能力，并且因此不適合所有應用。

本發(fā)明的目標是解決上述問題中的一個或多個。

WO?2009/090515公開了一種道路收費系統(tǒng)，包括具有執(zhí)行位置跟蹤功能的衛(wèi)星導航接收器的車載單元。車輛行進的路線基于位置跟蹤信息和用于獨立于衛(wèi)星導航信號檢測本地車輛狀態(tài)的傳感器。采用傳感器信息證實位置跟蹤信息有效。

發(fā)明內(nèi)容

根據(jù)本發(fā)明的第一方面，提供了一種數(shù)據(jù)處理設備，如由隨附權(quán)利要求所限定的那樣。

該設備可以形成車載遠程信息通信系統(tǒng)的一部分，其中感測單元為位置感測單元，并且本地數(shù)據(jù)源包括地圖數(shù)據(jù)源且可選地包括費用數(shù)據(jù)源，其中第一控制器被配置為：控制和從位置感測單元和地圖源(和可選地費用數(shù)據(jù)源)接收數(shù)據(jù)；基于從位置感測單元接收到的數(shù)據(jù)計算車輛的位置；以及可選地基于計算出的位置以及從費用數(shù)據(jù)源和地圖數(shù)據(jù)源接收到的數(shù)據(jù)計算費用。

感測單元可以為例如經(jīng)由通信接口連接至第一控制器的外部裝置。

通過僅驗證由控制器進行的操作的選定子集的完整性，該系統(tǒng)能夠有效地和快速地運行，而不犧牲安全性。

第二控制器可選地被提供為可移除卡，該可移除卡包括用于識別該系統(tǒng)的用戶的數(shù)據(jù)。