用于遠程汽車故障診斷系統(tǒng)的安全訪問控制

王秋霞，李 琴，吳培周

(1.福建船政交通職業(yè)學院機械工程系，福州 350007;2.中國電信股份有限公司寧波分公司，寧波315000;3.福建省汽車工業(yè)集團有限公司，福州 350003)

1 引言

近年來，全球汽車保有量與日俱增，給能源供應和環(huán)境保護都帶來了不小的壓力。而隨著現代電子技術的巨大發(fā)展，人們已經成功借助于先進電子技術來改善這一現狀。因此，現代汽車上的電子產品越來越多，使得汽車自動化程度越來越高，這就要求汽車維修人員不僅能夠很好地掌握汽車領域的高技術，還必須能夠快速地了解和更新最新的汽車新技術。遠程汽車故障診斷系統(tǒng)將數據庫技術、人工智能技術、故障診斷理論以及眾多汽車專家的多年實踐經驗進行系統(tǒng)性集成，在互聯網技術的支持下以網絡化方式運行［2］，使汽車維修技術人員無論在何時何地都能獲得及時、詳盡的汽車故障診斷技術資源。因此，遠程汽車故障診斷系統(tǒng)為汽車維修企業(yè)提供了整合的汽車維修技術資源，消除了維修企業(yè)在各地區(qū)人才與技術裝備的差異，實現了真正意義上的汽車快修。

遠程汽車故障診斷系統(tǒng)是基于GPRS 和Intranet 來實現故障診斷數據的通信的，因此對其進行安全訪問控制也就必不可少。一方面，安全訪問控制要保障合法用戶能夠享受已授權范圍內的各種服務;另一方面，安全訪問控制還要拒絕非法用戶進入系統(tǒng)，保障信息在傳輸過程中不被竊取和篡改。可見，安全訪問控制對于保證遠程汽車故障診斷系統(tǒng)正常運行有著現實而重要的意義。

2 遠程汽車故障診斷系統(tǒng)

2.1 系統(tǒng)工作原理

遠程汽車故障診斷系統(tǒng)由大型汽車維修商設計開發(fā)，并通過互聯網技術手段授權給其在各個地區(qū)的維修站使用，因此汽車維修商是這一系統(tǒng)的管理者，而其維修站則是向汽車維修商申請使用權限的用戶。用戶在進行汽車故障維修時，支持GPRS 無線通信的手持式遠程汽車故障診斷儀可以將汽車上各ECU 中存儲的故障代碼通過CAN 總線讀出，也可以對汽車狀態(tài)進行在線檢測，并把狀態(tài)數據記錄下來。在診斷儀與系統(tǒng)故障診斷中心建立起通訊后，診斷儀首先通過身份認證，存儲在診斷儀中的汽車故障信息就可以通過GPRS 被發(fā)送到系統(tǒng)故障診斷中心。系統(tǒng)診斷中心在接收到汽車故障代碼及狀態(tài)數據后，首先進行信息融合，再由開放式的故障診斷專家知識庫進行故障推理、建立診斷模型等一系列故障診斷操作。診斷完成后將在數據庫中查詢得到故障診斷結論，系統(tǒng)故障診斷中心還要將該結論通過GPRS 發(fā)送回診斷儀，并顯示給維修技術人員。圖1為遠程汽車故障診斷系統(tǒng)的工作原理示意圖。

圖1 遠程汽車故障診斷系統(tǒng)工作原理

2.2 系統(tǒng)訪問特點分析

隨著社會的飛速發(fā)展，人們對汽車日益依賴，以大眾汽車為例，2011年其在我國的總銷量就有225萬輛，可見遠程汽車故障診斷系統(tǒng)面對的是一個龐大的客戶群。因此，對該系統(tǒng)的訪問必定是大量而又頻繁的。根據美國汽車工程師學會SAE J687C 標準中的定義，汽車是能夠在固定軌道以外的道路或地域上運送客貨或牽引車輛的車輛，其活動范圍非常之大。并且，汽車是現代社會中不可缺少的交通運輸工具之一，無論在哪里出現故障，都必然希望在最短的時間內修好車輛，這就要求訪問系統(tǒng)的快速響應，可以在較短時間內調動服務器的所有技術資源，實現對汽車的診斷和維修指導［3］。另外，如果汽車故障是發(fā)生在野外，則還需要一種高覆蓋率的無線網絡，以保證系統(tǒng)資源在最大空間范圍內得以共享。同時，遠程汽車故障診斷系統(tǒng)還應采取高等級的安全訪問控制措施，拒絕非法用戶的惡意訪問，保證商業(yè)機密不被外泄。基于上述幾點分析，遠程汽車故障診斷系統(tǒng)采用GPRS 與Intranet相結合的通信網絡，結合一定的安全訪問控制手段，實現對系統(tǒng)的安全訪問。

3 系統(tǒng)安全訪問控制方案

根據遠程汽車故障診斷系統(tǒng)的基本工作原理，筆者將其安全訪問控制分為客戶端GPRS 安全接入、Intranet 安全控制和身份認證/用戶授權。

3.1 GPRS 安全接入

由于診斷系統(tǒng)中的診斷儀是遠程移動設備，并不在企業(yè)內部網安全控制之內，企業(yè)網關防火墻不能保護這些用戶的安全。此外，移動設備還極易遭到黑客的攻擊，通信數據被竊取或破壞，因此GPRS的安全接入是系統(tǒng)不可忽視的安全問題。對于GPRS 安全接入方案，首先用網關GPRS 支持節(jié)點GGSN 提供專用接入點APN，并在GGSN 網與Intranet 間增加專線連接的方法［4］。其次，在客戶端診斷儀和VPN 服務器間以SSL 協(xié)議為基礎建立VPN 通道，并采用用戶名/口令機制進行認證。

圖2 GRPS 安全接入方案

3.2 Intranet 安全控制

對于企業(yè)內部網Intranet 與外界GPRS的隔離，遠程汽車故障診斷系統(tǒng)中采用了兩道屏障:防火墻和安全隔離網閘。

防火墻可以強制執(zhí)行企業(yè)安全策略，創(chuàng)建網絡邊界以過濾和檢查所有進出的流量，并限制內網暴露于外網，記錄外網活動并生成網絡訪問日志。近些年來，防火墻機制更多提到的是堡壘主機。考慮到一個汽車維修企業(yè)在各地區(qū)都有眾多的維修站點，同時不同級別的維修站點具備不同的權限級別，因此遠程汽車故障診斷系統(tǒng)選擇了多臺堡壘主機，以保證對不同權限的用戶及時、快速地提供不同的數據，以及一臺堡壘主機失效時另一臺仍可提供同樣的服務。堡壘主機位于網絡邊界上，它應該在外部網和受保護的內部網之間提供一個緩存。DMZ(隔離區(qū))是為了解決安裝防火墻后外部網不能訪問內部網絡服務器的問題而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。這個緩沖區(qū)位于外部網和內部網之間的小網絡區(qū)域內，是一個可由公網訪問的服務器網絡，它連接到防火墻但又和內部網絡分離，以便保護內部用戶免受入侵和攻擊。因為它經過特別強化，并且本身已為抵御攻擊做好了準備，所以堡壘主機的邏輯位置可以存在于非常易于受攻擊的公共DMZ 內。

圖3 Intranet 安全控制方案

安全隔離網閘是遠程汽車故障診斷系統(tǒng)中第二道安全訪問屏障。防火墻是一種邏輯上的隔離，而安全隔離網閘則可實現內部網與外部網的物理隔斷，其特點是任一時刻內外網間沒有直接通路，在同一時間最多只有一個同安全隔離網閘建立非TCP/IP 協(xié)議的數據鏈接，其數據傳輸機制是存儲和轉發(fā)。因此，安全隔離網閘可以有效防止已知或未知的針對網絡層和操作系統(tǒng)層的攻擊［5］。

3.3 身份認證/用戶授權

汽車維修企業(yè)面對的客戶形形色色，為了擴大市場必須進行市場細分，設立多級維修站點，包括高級別的大型維修服務中心和初級的快修站。因此遠程汽車故障診斷系統(tǒng)需要對不同級別的用戶授以不同級別的權限。高級大型維修服務中心擁有高等權限，可以從系統(tǒng)診斷中心獲取最多的資源，例如向汽車制造商購買的部分非公開故障代碼，由診斷中心做出的故障分析報告等。高級大型維修服務中心還可以定期向系統(tǒng)診斷中心上傳維修技術人員的經驗，以更新、維護系統(tǒng)專家知識庫。初級快修站通常設在車流量密集的交通要道，為在行駛過程中出現緊急故障的汽車提供應急服務，因此其訪問權限比較低，只能獲取基本的故障代碼及診斷服務。

遠程汽車故障診斷系統(tǒng)采用了VPN 技術，通過特殊加密的通訊協(xié)議連接到GPRS 上。身份認證是通信雙方建立VPN的第一步，VPN 中最常用的身份認證技術是用戶名/口令方式，保證用戶名/口令，特別是用戶口令的機密性至關重要［6］。當客戶端可接入外部路由器后，通過Client 防火墻將VPN 連接請求和用戶名/口令發(fā)送到VPN 服務器上，再發(fā)送到RADIUS 認證服務器，由RADIUS 認證服務器根據用戶名/口令進行鑒權，并將認證結果和相關屬性發(fā)送給VPN 服務器。VPN 服務器根據認證結果接受或拒絕VPN 客戶端的VPN 請求。當通過對VPN連接請求時，將根據RADIUS 服務器發(fā)送給它的相關屬性為客戶端分配一個內網地址，并發(fā)送給VPN客戶端，完成對VPN 接入的認證和地址分配［4］。身份認證通過后，還需要通過系統(tǒng)內的數據訪問過濾機制對所有的數據訪問請求進行分析。如果是對受保護數據的訪問并且用戶沒有被授權，則拒絕該訪問請求并通知用戶。如果是對非保護區(qū)和保護區(qū)訪問且用戶已被授權，則執(zhí)行該訪問請求。

圖4 身份認證/用戶授權方案

4 安全訪問體系結構與實現

根據上述安全訪問控制方案，可做出系統(tǒng)安全訪問的體系結構，如圖5 所示。

圖5 系統(tǒng)安全訪問體系結構圖

采用NI 公司面向CompactRIO的GPRS/GSM硬件模塊，并以LabVIEW為開發(fā)平臺，在一臺計算機上實現診斷儀通過GPRS 發(fā)送訪問請求的仿真。UNIX是能提供Internet 服務的最流行操作系統(tǒng)，當堡壘主機在UNIX 操作系統(tǒng)運行時，有大量現成的工具可以使用，因此，選用UNIX 作為堡壘主機的操作系統(tǒng)。用基于Linux的計算機作為VPN 服務器和RADIUS 服務器，并在各臺服務器上安裝好相關軟件。當NI CompactRIO的GPRS/GSM 模塊向VPN服務器發(fā)出訪問請求時，系統(tǒng)安全訪問控制的實現過程如圖6 所示。

圖6 系統(tǒng)安全訪問控制的實現過程

5 結束語

遠程汽車故障診斷系統(tǒng)利用GPRS 通用分組無線服務技術和Intranet 企業(yè)內部網實現了汽車故障的遠程診斷，真正實現了汽車維修資源的共享。同時，遠程汽車故障診斷系統(tǒng)面對的用戶具有多樣性，傳輸的數據具有保密性，因此用戶對系統(tǒng)的訪問必須具備等級制的權限，同時配以嚴格的身份認證機制。另外，GPRS 與Intranet的鏈接必須要考慮到各種安全問題，確保系統(tǒng)不會因遭到黑客的攻擊而丟失或篡改數據。通過分析遠程汽車故障診斷系統(tǒng)的訪問特點，并在此基礎上提出了GPRS 安全接入、Intranet安全控制和身份認證/用戶授權安全訪問控制方案。基于這一方案，還設計了系統(tǒng)安全訪問的體系結構，并列出了系統(tǒng)安全訪問控制的實現過程。實踐表明，該安全訪問控制方案能夠由此過程實現，并起到良好的安全訪問控制作用。

［1］張進.汽車維修行業(yè)的現狀及發(fā)展對策［J］.四川兵工學報，2009，30(3):140－148.

［2］崔宏巍，楊保成，劉益芳，翟羽健.汽車遠程故障診斷系統(tǒng)研究［J］.汽車電器，2002(2):8－10.

［3］儲江偉，崔鵬飛.關于集成化汽車故障診斷系統(tǒng)及其支持技術研究［J］.公路交通科技，2005，22(2):121－125.

［4］湯丹，匡曉紅.一種GPRS 接入系統(tǒng)及安全解決方案［J］.計算機應用與軟件，2010，27(1):134－147.

［5］紀方，魯士文.安全遠程訪問系統(tǒng)的設計與研究［J］.計算機應用與軟件，2004，21(6):92－94.

［6］蔣東毅，呂述望，羅曉廣.VPN的關鍵技術分析［J］.計算機工程與應用，2003(15):173－177.

［7］蘇子林，于京諾，梁桂航.汽車遠程數據交換與智能控制系統(tǒng)的研究［J］.計算機系統(tǒng)與應用，2008(8):5－13.

［8］黃強，張曉.基于網絡技術的汽車嵌入式遠程故障診斷［J］.柴油機設計與制造，2009，16(1):13－15.

［9］張懷坤，苑紅曉.汽車故障遠程診斷系統(tǒng)的設計和研究［J］.電子測量與儀器學報，2010 增刊:66－69.

［10］董黎明，何鴻君，羅莉，何修雄.基于用戶授權的數據保護方法［J］.信息安全與通信保密，2009(8):114－117.

［11］Chung L，Subramanian N.Architecture－Based Semantic Evolution:a Study of Remotely Controlled Embedded Systems［C］.Proceedings of the IEEE International Conference on Software Maintenance.Los Alamitos，CA，USA:IEEE Computer Society，2001:663－666.

［12］Discenzo F M，Unsworth P J，Loparo K A，et al.Self－Diagnosing Intelligent Motors:a Key Enabler for Next Generation Manufacturing Systems［J］.Computing ＆Control Engineering Journal，2000(5):228－233.

［13］Gray M.Overcoming the Limitations of the System Architecture of On－ board Vehicle Diagnostics［J］.SAE Paper 940432.

［14］Donald S Sama.Diagnostic Equipment Development for Military－vehicle Application［J］.SAE Paper 780029.