[发明专利]数据处理设备

说明书

技术领域

本公开内容涉及用在车载远程信息通信系统(vehicle telematics system)或智能计量系统(smart metering system)中的数据处理设备，并涉及例如用于在公路定价中操作这种设备的方法。

背景技术

图1以示意性形式说明与遥测技术相关的一般概念，其中用户实体1可以访问远程装置2，装置2包括主控制器3和本地数据库4。在这种一般情况中，用户或外部实体1能够经由双向通信链路5使用装置2，以将某些输入数据转换成输出数据。与遥测技术一样，这种系统可以应用在其它情况中，如智能计量，包括能量使用的远程监控。

这种情况中所关心的一个问题是外部用户实体1如何可以确信装置1确实针对给定的输入产生了正确的输出。换句话说，问题是如何保护在该装置中运行的进程(process)的完整性(integrity)，特别是防止篡改攻击。

考虑到上述问题，存在可能遭受攻击者20篡改的三种不同的资源，如图2所述。这些攻击为：

1.企图修改I/O数据本身的攻击(箭头21)，无论是提交(summit)给装置2之前的输入数据还是由装置2产生之后的输出数据6；

2.企图修改在主控制器3上运行的进程的攻击(箭头22)；以及

3.企图修改在数据库4中本地存储的主数据(箭头23)。

可以利用旨在保护上文列出的资源的完整性的多种解决方法，其示例包括以下几种：

(1)对于I/O数据6，典型的解决的方案是使用签名算法，其中数据在输入处由用户实体1签名，并且在装置2的输出处由主进程3回签名(sign back)，因此通过允许检测任何修改而保护数据6的完整性，已知为篡改证据。

(2)使用可信任平台模块(TPM)，安全加密处理器可以用来主要通过两种机制保护主进程：远程证明和封闭存储。远程证明形成主进程状态的加密签名以向远程实体证明主控制器处于给定状态。封闭存储以它仅可以由处于正确状态时的主进程解密的方式加密数据。TPM主要用在个人计算机中，例如用于向远程支付服务器证明在将进行支付的计算机中不存在任何特洛伊木马、病毒、密钥记录器等。TPM还可以用于数字版权保护(DRM)应用。

(3)′智能卡′的使用是另一种已知的解决方案。安全智能卡包括嵌入塑料卡中的高度安全芯片。嵌入的芯片被设计为不易受任何篡改攻击，使得非常难以改变或探究芯片中存储的进程和数据。智能卡用于安全支付应用，其中金钱电子数值存储在卡中(′电子钱包′)，或者用于安全访问控制应用，其中允许访问设备或网络的安全密钥存储在卡中(如，SIM卡)，或者用于身份识别应用，其中签名密钥存储在卡中(如，电子护照)。

TPM的缺点是这基本上是静态保护，仅证明控制器在某个时间处于某种核实状态，并且准备处理安全敏感数据。TPM不提供针对已经达到核实状态之后的攻击或硬件篡改攻击的防护。TPM方案还需要来自操作系统和主控制器的深度支持。

另一方面，智能卡提供动态保护，即，不仅保护进程的状态，而且保护这种状态如何随着时间的过去而发展，但由于需要特定的设计和制造工艺而是不便利的。智能卡通常还具有非常有限的处理能力，并且因此不适合所有应用。

本发明的目标是解决上述问题中的一个或多个。

WO 2009/090515公开了一种道路收费系统，包括具有执行位置跟踪功能的卫星导航接收器的车载单元。车辆行进的路线基于位置跟踪信息和用于独立于卫星导航信号检测本地车辆状态的传感器。采用传感器信息证实位置跟踪信息有效。

发明内容

根据本发明的第一方面，提供了一种数据处理设备，如由随附权利要求所限定的那样。

该设备可以形成车载远程信息通信系统的一部分，其中感测单元为位置感测单元，并且本地数据源包括地图数据源且可选地包括费用数据源，其中第一控制器被配置为：控制和从位置感测单元和地图源(和可选地费用数据源)接收数据；基于从位置感测单元接收到的数据计算车辆的位置；以及可选地基于计算出的位置以及从费用数据源和地图数据源接收到的数据计算费用。

感测单元可以为例如经由通信接口连接至第一控制器的外部装置。

通过仅验证由控制器进行的操作的选定子集的完整性，该系统能够有效地和快速地运行，而不牺牲安全性。

第二控制器可选地被提供为可移除卡，该可移除卡包括用于识别该系统的用户的数据。