用于遠(yuǎn)程汽車故障診斷系統(tǒng)的安全訪問控制

王秋霞，李 琴，吳培周

(1.福建船政交通職業(yè)學(xué)院機(jī)械工程系，福州 350007;2.中國電信股份有限公司寧波分公司，寧波315000;3.福建省汽車工業(yè)集團(tuán)有限公司，福州 350003)

1 引言

近年來，全球汽車保有量與日俱增，給能源供應(yīng)和環(huán)境保護(hù)都帶來了不小的壓力。而隨著現(xiàn)代電子技術(shù)的巨大發(fā)展，人們已經(jīng)成功借助于先進(jìn)電子技術(shù)來改善這一現(xiàn)狀。因此，現(xiàn)代汽車上的電子產(chǎn)品越來越多，使得汽車自動化程度越來越高，這就要求汽車維修人員不僅能夠很好地掌握汽車領(lǐng)域的高技術(shù)，還必須能夠快速地了解和更新最新的汽車新技術(shù)。遠(yuǎn)程汽車故障診斷系統(tǒng)將數(shù)據(jù)庫技術(shù)、人工智能技術(shù)、故障診斷理論以及眾多汽車專家的多年實(shí)踐經(jīng)驗進(jìn)行系統(tǒng)性集成，在互聯(lián)網(wǎng)技術(shù)的支持下以網(wǎng)絡(luò)化方式運(yùn)行［2］，使汽車維修技術(shù)人員無論在何時何地都能獲得及時、詳盡的汽車故障診斷技術(shù)資源。因此，遠(yuǎn)程汽車故障診斷系統(tǒng)為汽車維修企業(yè)提供了整合的汽車維修技術(shù)資源，消除了維修企業(yè)在各地區(qū)人才與技術(shù)裝備的差異，實(shí)現(xiàn)了真正意義上的汽車快修。

遠(yuǎn)程汽車故障診斷系統(tǒng)是基于GPRS 和Intranet 來實(shí)現(xiàn)故障診斷數(shù)據(jù)的通信的，因此對其進(jìn)行安全訪問控制也就必不可少。一方面，安全訪問控制要保障合法用戶能夠享受已授權(quán)范圍內(nèi)的各種服務(wù);另一方面，安全訪問控制還要拒絕非法用戶進(jìn)入系統(tǒng)，保障信息在傳輸過程中不被竊取和篡改。可見，安全訪問控制對于保證遠(yuǎn)程汽車故障診斷系統(tǒng)正常運(yùn)行有著現(xiàn)實(shí)而重要的意義。

2 遠(yuǎn)程汽車故障診斷系統(tǒng)

2.1 系統(tǒng)工作原理

遠(yuǎn)程汽車故障診斷系統(tǒng)由大型汽車維修商設(shè)計開發(fā)，并通過互聯(lián)網(wǎng)技術(shù)手段授權(quán)給其在各個地區(qū)的維修站使用，因此汽車維修商是這一系統(tǒng)的管理者，而其維修站則是向汽車維修商申請使用權(quán)限的用戶。用戶在進(jìn)行汽車故障維修時，支持GPRS 無線通信的手持式遠(yuǎn)程汽車故障診斷儀可以將汽車上各ECU 中存儲的故障代碼通過CAN 總線讀出，也可以對汽車狀態(tài)進(jìn)行在線檢測，并把狀態(tài)數(shù)據(jù)記錄下來。在診斷儀與系統(tǒng)故障診斷中心建立起通訊后，診斷儀首先通過身份認(rèn)證，存儲在診斷儀中的汽車故障信息就可以通過GPRS 被發(fā)送到系統(tǒng)故障診斷中心。系統(tǒng)診斷中心在接收到汽車故障代碼及狀態(tài)數(shù)據(jù)后，首先進(jìn)行信息融合，再由開放式的故障診斷專家知識庫進(jìn)行故障推理、建立診斷模型等一系列故障診斷操作。診斷完成后將在數(shù)據(jù)庫中查詢得到故障診斷結(jié)論，系統(tǒng)故障診斷中心還要將該結(jié)論通過GPRS 發(fā)送回診斷儀，并顯示給維修技術(shù)人員。圖1為遠(yuǎn)程汽車故障診斷系統(tǒng)的工作原理示意圖。

圖1 遠(yuǎn)程汽車故障診斷系統(tǒng)工作原理

2.2 系統(tǒng)訪問特點(diǎn)分析

隨著社會的飛速發(fā)展，人們對汽車日益依賴，以大眾汽車為例，2011年其在我國的總銷量就有225萬輛，可見遠(yuǎn)程汽車故障診斷系統(tǒng)面對的是一個龐大的客戶群。因此，對該系統(tǒng)的訪問必定是大量而又頻繁的。根據(jù)美國汽車工程師學(xué)會SAE J687C 標(biāo)準(zhǔn)中的定義，汽車是能夠在固定軌道以外的道路或地域上運(yùn)送客貨或牽引車輛的車輛，其活動范圍非常之大。并且，汽車是現(xiàn)代社會中不可缺少的交通運(yùn)輸工具之一，無論在哪里出現(xiàn)故障，都必然希望在最短的時間內(nèi)修好車輛，這就要求訪問系統(tǒng)的快速響應(yīng)，可以在較短時間內(nèi)調(diào)動服務(wù)器的所有技術(shù)資源，實(shí)現(xiàn)對汽車的診斷和維修指導(dǎo)［3］。另外，如果汽車故障是發(fā)生在野外，則還需要一種高覆蓋率的無線網(wǎng)絡(luò)，以保證系統(tǒng)資源在最大空間范圍內(nèi)得以共享。同時，遠(yuǎn)程汽車故障診斷系統(tǒng)還應(yīng)采取高等級的安全訪問控制措施，拒絕非法用戶的惡意訪問，保證商業(yè)機(jī)密不被外泄。基于上述幾點(diǎn)分析，遠(yuǎn)程汽車故障診斷系統(tǒng)采用GPRS 與Intranet相結(jié)合的通信網(wǎng)絡(luò)，結(jié)合一定的安全訪問控制手段，實(shí)現(xiàn)對系統(tǒng)的安全訪問。

3 系統(tǒng)安全訪問控制方案

根據(jù)遠(yuǎn)程汽車故障診斷系統(tǒng)的基本工作原理，筆者將其安全訪問控制分為客戶端GPRS 安全接入、Intranet 安全控制和身份認(rèn)證/用戶授權(quán)。

3.1 GPRS 安全接入

由于診斷系統(tǒng)中的診斷儀是遠(yuǎn)程移動設(shè)備，并不在企業(yè)內(nèi)部網(wǎng)安全控制之內(nèi)，企業(yè)網(wǎng)關(guān)防火墻不能保護(hù)這些用戶的安全。此外，移動設(shè)備還極易遭到黑客的攻擊，通信數(shù)據(jù)被竊取或破壞，因此GPRS的安全接入是系統(tǒng)不可忽視的安全問題。對于GPRS 安全接入方案，首先用網(wǎng)關(guān)GPRS 支持節(jié)點(diǎn)GGSN 提供專用接入點(diǎn)APN，并在GGSN 網(wǎng)與Intranet 間增加專線連接的方法［4］。其次，在客戶端診斷儀和VPN 服務(wù)器間以SSL 協(xié)議為基礎(chǔ)建立VPN 通道，并采用用戶名/口令機(jī)制進(jìn)行認(rèn)證。

圖2 GRPS 安全接入方案

3.2 Intranet 安全控制

對于企業(yè)內(nèi)部網(wǎng)Intranet 與外界GPRS的隔離，遠(yuǎn)程汽車故障診斷系統(tǒng)中采用了兩道屏障:防火墻和安全隔離網(wǎng)閘。

防火墻可以強(qiáng)制執(zhí)行企業(yè)安全策略，創(chuàng)建網(wǎng)絡(luò)邊界以過濾和檢查所有進(jìn)出的流量，并限制內(nèi)網(wǎng)暴露于外網(wǎng)，記錄外網(wǎng)活動并生成網(wǎng)絡(luò)訪問日志。近些年來，防火墻機(jī)制更多提到的是堡壘主機(jī)。考慮到一個汽車維修企業(yè)在各地區(qū)都有眾多的維修站點(diǎn)，同時不同級別的維修站點(diǎn)具備不同的權(quán)限級別，因此遠(yuǎn)程汽車故障診斷系統(tǒng)選擇了多臺堡壘主機(jī)，以保證對不同權(quán)限的用戶及時、快速地提供不同的數(shù)據(jù)，以及一臺堡壘主機(jī)失效時另一臺仍可提供同樣的服務(wù)。堡壘主機(jī)位于網(wǎng)絡(luò)邊界上，它應(yīng)該在外部網(wǎng)和受保護(hù)的內(nèi)部網(wǎng)之間提供一個緩存。DMZ(隔離區(qū))是為了解決安裝防火墻后外部網(wǎng)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。這個緩沖區(qū)位于外部網(wǎng)和內(nèi)部網(wǎng)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，是一個可由公網(wǎng)訪問的服務(wù)器網(wǎng)絡(luò)，它連接到防火墻但又和內(nèi)部網(wǎng)絡(luò)分離，以便保護(hù)內(nèi)部用戶免受入侵和攻擊。因為它經(jīng)過特別強(qiáng)化，并且本身已為抵御攻擊做好了準(zhǔn)備，所以堡壘主機(jī)的邏輯位置可以存在于非常易于受攻擊的公共DMZ 內(nèi)。

圖3 Intranet 安全控制方案

安全隔離網(wǎng)閘是遠(yuǎn)程汽車故障診斷系統(tǒng)中第二道安全訪問屏障。防火墻是一種邏輯上的隔離，而安全隔離網(wǎng)閘則可實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的物理隔斷，其特點(diǎn)是任一時刻內(nèi)外網(wǎng)間沒有直接通路，在同一時間最多只有一個同安全隔離網(wǎng)閘建立非TCP/IP 協(xié)議的數(shù)據(jù)鏈接，其數(shù)據(jù)傳輸機(jī)制是存儲和轉(zhuǎn)發(fā)。因此，安全隔離網(wǎng)閘可以有效防止已知或未知的針對網(wǎng)絡(luò)層和操作系統(tǒng)層的攻擊［5］。

3.3 身份認(rèn)證/用戶授權(quán)

汽車維修企業(yè)面對的客戶形形色色，為了擴(kuò)大市場必須進(jìn)行市場細(xì)分，設(shè)立多級維修站點(diǎn)，包括高級別的大型維修服務(wù)中心和初級的快修站。因此遠(yuǎn)程汽車故障診斷系統(tǒng)需要對不同級別的用戶授以不同級別的權(quán)限。高級大型維修服務(wù)中心擁有高等權(quán)限，可以從系統(tǒng)診斷中心獲取最多的資源，例如向汽車制造商購買的部分非公開故障代碼，由診斷中心做出的故障分析報告等。高級大型維修服務(wù)中心還可以定期向系統(tǒng)診斷中心上傳維修技術(shù)人員的經(jīng)驗，以更新、維護(hù)系統(tǒng)專家知識庫。初級快修站通常設(shè)在車流量密集的交通要道，為在行駛過程中出現(xiàn)緊急故障的汽車提供應(yīng)急服務(wù)，因此其訪問權(quán)限比較低，只能獲取基本的故障代碼及診斷服務(wù)。

遠(yuǎn)程汽車故障診斷系統(tǒng)采用了VPN 技術(shù)，通過特殊加密的通訊協(xié)議連接到GPRS 上。身份認(rèn)證是通信雙方建立VPN的第一步，VPN 中最常用的身份認(rèn)證技術(shù)是用戶名/口令方式，保證用戶名/口令，特別是用戶口令的機(jī)密性至關(guān)重要［6］。當(dāng)客戶端可接入外部路由器后，通過Client 防火墻將VPN 連接請求和用戶名/口令發(fā)送到VPN 服務(wù)器上，再發(fā)送到RADIUS 認(rèn)證服務(wù)器，由RADIUS 認(rèn)證服務(wù)器根據(jù)用戶名/口令進(jìn)行鑒權(quán)，并將認(rèn)證結(jié)果和相關(guān)屬性發(fā)送給VPN 服務(wù)器。VPN 服務(wù)器根據(jù)認(rèn)證結(jié)果接受或拒絕VPN 客戶端的VPN 請求。當(dāng)通過對VPN連接請求時，將根據(jù)RADIUS 服務(wù)器發(fā)送給它的相關(guān)屬性為客戶端分配一個內(nèi)網(wǎng)地址，并發(fā)送給VPN客戶端，完成對VPN 接入的認(rèn)證和地址分配［4］。身份認(rèn)證通過后，還需要通過系統(tǒng)內(nèi)的數(shù)據(jù)訪問過濾機(jī)制對所有的數(shù)據(jù)訪問請求進(jìn)行分析。如果是對受保護(hù)數(shù)據(jù)的訪問并且用戶沒有被授權(quán)，則拒絕該訪問請求并通知用戶。如果是對非保護(hù)區(qū)和保護(hù)區(qū)訪問且用戶已被授權(quán)，則執(zhí)行該訪問請求。

圖4 身份認(rèn)證/用戶授權(quán)方案

4 安全訪問體系結(jié)構(gòu)與實(shí)現(xiàn)

根據(jù)上述安全訪問控制方案，可做出系統(tǒng)安全訪問的體系結(jié)構(gòu)，如圖5 所示。

圖5 系統(tǒng)安全訪問體系結(jié)構(gòu)圖

采用NI 公司面向CompactRIO的GPRS/GSM硬件模塊，并以LabVIEW為開發(fā)平臺，在一臺計算機(jī)上實(shí)現(xiàn)診斷儀通過GPRS 發(fā)送訪問請求的仿真。UNIX是能提供Internet 服務(wù)的最流行操作系統(tǒng)，當(dāng)堡壘主機(jī)在UNIX 操作系統(tǒng)運(yùn)行時，有大量現(xiàn)成的工具可以使用，因此，選用UNIX 作為堡壘主機(jī)的操作系統(tǒng)。用基于Linux的計算機(jī)作為VPN 服務(wù)器和RADIUS 服務(wù)器，并在各臺服務(wù)器上安裝好相關(guān)軟件。當(dāng)NI CompactRIO的GPRS/GSM 模塊向VPN服務(wù)器發(fā)出訪問請求時，系統(tǒng)安全訪問控制的實(shí)現(xiàn)過程如圖6 所示。

圖6 系統(tǒng)安全訪問控制的實(shí)現(xiàn)過程

5 結(jié)束語

遠(yuǎn)程汽車故障診斷系統(tǒng)利用GPRS 通用分組無線服務(wù)技術(shù)和Intranet 企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)了汽車故障的遠(yuǎn)程診斷，真正實(shí)現(xiàn)了汽車維修資源的共享。同時，遠(yuǎn)程汽車故障診斷系統(tǒng)面對的用戶具有多樣性，傳輸?shù)臄?shù)據(jù)具有保密性，因此用戶對系統(tǒng)的訪問必須具備等級制的權(quán)限，同時配以嚴(yán)格的身份認(rèn)證機(jī)制。另外，GPRS 與Intranet的鏈接必須要考慮到各種安全問題，確保系統(tǒng)不會因遭到黑客的攻擊而丟失或篡改數(shù)據(jù)。通過分析遠(yuǎn)程汽車故障診斷系統(tǒng)的訪問特點(diǎn)，并在此基礎(chǔ)上提出了GPRS 安全接入、Intranet安全控制和身份認(rèn)證/用戶授權(quán)安全訪問控制方案。基于這一方案，還設(shè)計了系統(tǒng)安全訪問的體系結(jié)構(gòu)，并列出了系統(tǒng)安全訪問控制的實(shí)現(xiàn)過程。實(shí)踐表明，該安全訪問控制方案能夠由此過程實(shí)現(xiàn)，并起到良好的安全訪問控制作用。

［1］張進(jìn).汽車維修行業(yè)的現(xiàn)狀及發(fā)展對策［J］.四川兵工學(xué)報，2009，30(3):140－148.

［2］崔宏巍，楊保成，劉益芳，翟羽健.汽車遠(yuǎn)程故障診斷系統(tǒng)研究［J］.汽車電器，2002(2):8－10.

［3］儲江偉，崔鵬飛.關(guān)于集成化汽車故障診斷系統(tǒng)及其支持技術(shù)研究［J］.公路交通科技，2005，22(2):121－125.

［4］湯丹，匡曉紅.一種GPRS 接入系統(tǒng)及安全解決方案［J］.計算機(jī)應(yīng)用與軟件，2010，27(1):134－147.

［5］紀(jì)方，魯士文.安全遠(yuǎn)程訪問系統(tǒng)的設(shè)計與研究［J］.計算機(jī)應(yīng)用與軟件，2004，21(6):92－94.

［6］蔣東毅，呂述望，羅曉廣.VPN的關(guān)鍵技術(shù)分析［J］.計算機(jī)工程與應(yīng)用，2003(15):173－177.

［7］蘇子林，于京諾，梁桂航.汽車遠(yuǎn)程數(shù)據(jù)交換與智能控制系統(tǒng)的研究［J］.計算機(jī)系統(tǒng)與應(yīng)用，2008(8):5－13.

［8］黃強(qiáng)，張曉.基于網(wǎng)絡(luò)技術(shù)的汽車嵌入式遠(yuǎn)程故障診斷［J］.柴油機(jī)設(shè)計與制造，2009，16(1):13－15.

［9］張懷坤，苑紅曉.汽車故障遠(yuǎn)程診斷系統(tǒng)的設(shè)計和研究［J］.電子測量與儀器學(xué)報，2010 增刊:66－69.

［10］董黎明，何鴻君，羅莉，何修雄.基于用戶授權(quán)的數(shù)據(jù)保護(hù)方法［J］.信息安全與通信保密，2009(8):114－117.

［11］Chung L，Subramanian N.Architecture－Based Semantic Evolution:a Study of Remotely Controlled Embedded Systems［C］.Proceedings of the IEEE International Conference on Software Maintenance.Los Alamitos，CA，USA:IEEE Computer Society，2001:663－666.

［12］Discenzo F M，Unsworth P J，Loparo K A，et al.Self－Diagnosing Intelligent Motors:a Key Enabler for Next Generation Manufacturing Systems［J］.Computing ＆Control Engineering Journal，2000(5):228－233.

［13］Gray M.Overcoming the Limitations of the System Architecture of On－ board Vehicle Diagnostics［J］.SAE Paper 940432.

［14］Donald S Sama.Diagnostic Equipment Development for Military－vehicle Application［J］.SAE Paper 780029.