王秋霞,李 琴,吴培周
(1.福建船政交通职业学院机械工程系,福州 350007;2.中国电信股份有限公司宁波分公司,宁波315000;3.福建省汽车工业集团有限公司,福州 350003)
近年来,全球汽车保有量与日俱增,给能源供应和环境保护都带来了不小的压力。而随着现代电子技术的巨大发展,人们已经成功借助于先进电子技术来改善这一现状。因此,现代汽车上的电子产品越来越多,使得汽车自动化程度越来越高,这就要求汽车维修人员不仅能够很好地掌握汽车领域的高技术,还必须能够快速地了解和更新最新的汽车新技术。远程汽车故障诊断系统将数据库技术、人工智能技术、故障诊断理论以及众多汽车专家的多年实践经验进行系统性集成,在互联网技术的支持下以网络化方式运行[2],使汽车维修技术人员无论在何时何地都能获得及时、详尽的汽车故障诊断技术资源。因此,远程汽车故障诊断系统为汽车维修企业提供了整合的汽车维修技术资源,消除了维修企业在各地区人才与技术装备的差异,实现了真正意义上的汽车快修。
远程汽车故障诊断系统是基于GPRS 和Intranet 来实现故障诊断数据的通信的,因此对其进行安全访问控制也就必不可少。一方面,安全访问控制要保障合法用户能够享受已授权范围内的各种服务;另一方面,安全访问控制还要拒绝非法用户进入系统,保障信息在传输过程中不被窃取和篡改。可见,安全访问控制对于保证远程汽车故障诊断系统正常运行有着现实而重要的意义。
远程汽车故障诊断系统由大型汽车维修商设计开发,并通过互联网技术手段授权给其在各个地区的维修站使用,因此汽车维修商是这一系统的管理者,而其维修站则是向汽车维修商申请使用权限的用户。用户在进行汽车故障维修时,支持GPRS 无线通信的手持式远程汽车故障诊断仪可以将汽车上各ECU 中存储的故障代码通过CAN 总线读出,也可以对汽车状态进行在线检测,并把状态数据记录下来。在诊断仪与系统故障诊断中心建立起通讯后,诊断仪首先通过身份认证,存储在诊断仪中的汽车故障信息就可以通过GPRS 被发送到系统故障诊断中心。系统诊断中心在接收到汽车故障代码及状态数据后,首先进行信息融合,再由开放式的故障诊断专家知识库进行故障推理、建立诊断模型等一系列故障诊断操作。诊断完成后将在数据库中查询得到故障诊断结论,系统故障诊断中心还要将该结论通过GPRS 发送回诊断仪,并显示给维修技术人员。图1为远程汽车故障诊断系统的工作原理示意图。
图1 远程汽车故障诊断系统工作原理
随着社会的飞速发展,人们对汽车日益依赖,以大众汽车为例,2011年其在我国的总销量就有225万辆,可见远程汽车故障诊断系统面对的是一个庞大的客户群。因此,对该系统的访问必定是大量而又频繁的。根据美国汽车工程师学会SAE J687C 标准中的定义,汽车是能够在固定轨道以外的道路或地域上运送客货或牵引车辆的车辆,其活动范围非常之大。并且,汽车是现代社会中不可缺少的交通运输工具之一,无论在哪里出现故障,都必然希望在最短的时间内修好车辆,这就要求访问系统的快速响应,可以在较短时间内调动服务器的所有技术资源,实现对汽车的诊断和维修指导[3]。另外,如果汽车故障是发生在野外,则还需要一种高覆盖率的无线网络,以保证系统资源在最大空间范围内得以共享。同时,远程汽车故障诊断系统还应采取高等级的安全访问控制措施,拒绝非法用户的恶意访问,保证商业机密不被外泄。基于上述几点分析,远程汽车故障诊断系统采用GPRS 与Intranet相结合的通信网络,结合一定的安全访问控制手段,实现对系统的安全访问。
根据远程汽车故障诊断系统的基本工作原理,笔者将其安全访问控制分为客户端GPRS 安全接入、Intranet 安全控制和身份认证/用户授权。
由于诊断系统中的诊断仪是远程移动设备,并不在企业内部网安全控制之内,企业网关防火墙不能保护这些用户的安全。此外,移动设备还极易遭到黑客的攻击,通信数据被窃取或破坏,因此GPRS的安全接入是系统不可忽视的安全问题。对于GPRS 安全接入方案,首先用网关GPRS 支持节点GGSN 提供专用接入点APN,并在GGSN 网与Intranet 间增加专线连接的方法[4]。其次,在客户端诊断仪和VPN 服务器间以SSL 协议为基础建立VPN 通道,并采用用户名/口令机制进行认证。
图2 GRPS 安全接入方案
对于企业内部网Intranet 与外界GPRS的隔离,远程汽车故障诊断系统中采用了两道屏障:防火墙和安全隔离网闸。
防火墙可以强制执行企业安全策略,创建网络边界以过滤和检查所有进出的流量,并限制内网暴露于外网,记录外网活动并生成网络访问日志。近些年来,防火墙机制更多提到的是堡垒主机。考虑到一个汽车维修企业在各地区都有众多的维修站点,同时不同级别的维修站点具备不同的权限级别,因此远程汽车故障诊断系统选择了多台堡垒主机,以保证对不同权限的用户及时、快速地提供不同的数据,以及一台堡垒主机失效时另一台仍可提供同样的服务。堡垒主机位于网络边界上,它应该在外部网和受保护的内部网之间提供一个缓存。DMZ(隔离区)是为了解决安装防火墙后外部网不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于外部网和内部网之间的小网络区域内,是一个可由公网访问的服务器网络,它连接到防火墙但又和内部网络分离,以便保护内部用户免受入侵和攻击。因为它经过特别强化,并且本身已为抵御攻击做好了准备,所以堡垒主机的逻辑位置可以存在于非常易于受攻击的公共DMZ 内。
图3 Intranet 安全控制方案
安全隔离网闸是远程汽车故障诊断系统中第二道安全访问屏障。防火墙是一种逻辑上的隔离,而安全隔离网闸则可实现内部网与外部网的物理隔断,其特点是任一时刻内外网间没有直接通路,在同一时间最多只有一个同安全隔离网闸建立非TCP/IP 协议的数据链接,其数据传输机制是存储和转发。因此,安全隔离网闸可以有效防止已知或未知的针对网络层和操作系统层的攻击[5]。
汽车维修企业面对的客户形形色色,为了扩大市场必须进行市场细分,设立多级维修站点,包括高级别的大型维修服务中心和初级的快修站。因此远程汽车故障诊断系统需要对不同级别的用户授以不同级别的权限。高级大型维修服务中心拥有高等权限,可以从系统诊断中心获取最多的资源,例如向汽车制造商购买的部分非公开故障代码,由诊断中心做出的故障分析报告等。高级大型维修服务中心还可以定期向系统诊断中心上传维修技术人员的经验,以更新、维护系统专家知识库。初级快修站通常设在车流量密集的交通要道,为在行驶过程中出现紧急故障的汽车提供应急服务,因此其访问权限比较低,只能获取基本的故障代码及诊断服务。
远程汽车故障诊断系统采用了VPN 技术,通过特殊加密的通讯协议连接到GPRS 上。身份认证是通信双方建立VPN的第一步,VPN 中最常用的身份认证技术是用户名/口令方式,保证用户名/口令,特别是用户口令的机密性至关重要[6]。当客户端可接入外部路由器后,通过Client 防火墙将VPN 连接请求和用户名/口令发送到VPN 服务器上,再发送到RADIUS 认证服务器,由RADIUS 认证服务器根据用户名/口令进行鉴权,并将认证结果和相关属性发送给VPN 服务器。VPN 服务器根据认证结果接受或拒绝VPN 客户端的VPN 请求。当通过对VPN连接请求时,将根据RADIUS 服务器发送给它的相关属性为客户端分配一个内网地址,并发送给VPN客户端,完成对VPN 接入的认证和地址分配[4]。身份认证通过后,还需要通过系统内的数据访问过滤机制对所有的数据访问请求进行分析。如果是对受保护数据的访问并且用户没有被授权,则拒绝该访问请求并通知用户。如果是对非保护区和保护区访问且用户已被授权,则执行该访问请求。
图4 身份认证/用户授权方案
根据上述安全访问控制方案,可做出系统安全访问的体系结构,如图5 所示。
图5 系统安全访问体系结构图
采用NI 公司面向CompactRIO的GPRS/GSM硬件模块,并以LabVIEW为开发平台,在一台计算机上实现诊断仪通过GPRS 发送访问请求的仿真。UNIX是能提供Internet 服务的最流行操作系统,当堡垒主机在UNIX 操作系统运行时,有大量现成的工具可以使用,因此,选用UNIX 作为堡垒主机的操作系统。用基于Linux的计算机作为VPN 服务器和RADIUS 服务器,并在各台服务器上安装好相关软件。当NI CompactRIO的GPRS/GSM 模块向VPN服务器发出访问请求时,系统安全访问控制的实现过程如图6 所示。
图6 系统安全访问控制的实现过程
远程汽车故障诊断系统利用GPRS 通用分组无线服务技术和Intranet 企业内部网实现了汽车故障的远程诊断,真正实现了汽车维修资源的共享。同时,远程汽车故障诊断系统面对的用户具有多样性,传输的数据具有保密性,因此用户对系统的访问必须具备等级制的权限,同时配以严格的身份认证机制。另外,GPRS 与Intranet的链接必须要考虑到各种安全问题,确保系统不会因遭到黑客的攻击而丢失或篡改数据。通过分析远程汽车故障诊断系统的访问特点,并在此基础上提出了GPRS 安全接入、Intranet安全控制和身份认证/用户授权安全访问控制方案。基于这一方案,还设计了系统安全访问的体系结构,并列出了系统安全访问控制的实现过程。实践表明,该安全访问控制方案能够由此过程实现,并起到良好的安全访问控制作用。
[1]张进.汽车维修行业的现状及发展对策[J].四川兵工学报,2009,30(3):140-148.
[2]崔宏巍,杨保成,刘益芳,翟羽健.汽车远程故障诊断系统研究[J].汽车电器,2002(2):8-10.
[3]储江伟,崔鹏飞.关于集成化汽车故障诊断系统及其支持技术研究[J].公路交通科技,2005,22(2):121-125.
[4]汤丹,匡晓红.一种GPRS 接入系统及安全解决方案[J].计算机应用与软件,2010,27(1):134-147.
[5]纪方,鲁士文.安全远程访问系统的设计与研究[J].计算机应用与软件,2004,21(6):92-94.
[6]蒋东毅,吕述望,罗晓广.VPN的关键技术分析[J].计算机工程与应用,2003(15):173-177.
[7]苏子林,于京诺,梁桂航.汽车远程数据交换与智能控制系统的研究[J].计算机系统与应用,2008(8):5-13.
[8]黄强,张晓.基于网络技术的汽车嵌入式远程故障诊断[J].柴油机设计与制造,2009,16(1):13-15.
[9]张怀坤,苑红晓.汽车故障远程诊断系统的设计和研究[J].电子测量与仪器学报,2010 增刊:66-69.
[10]董黎明,何鸿君,罗莉,何修雄.基于用户授权的数据保护方法[J].信息安全与通信保密,2009(8):114-117.
[11]Chung L,Subramanian N.Architecture-Based Semantic Evolution:a Study of Remotely Controlled Embedded Systems[C].Proceedings of the IEEE International Conference on Software Maintenance.Los Alamitos,CA,USA:IEEE Computer Society,2001:663-666.
[12]Discenzo F M,Unsworth P J,Loparo K A,et al.Self-Diagnosing Intelligent Motors:a Key Enabler for Next Generation Manufacturing Systems[J].Computing &Control Engineering Journal,2000(5):228-233.
[13]Gray M.Overcoming the Limitations of the System Architecture of On- board Vehicle Diagnostics[J].SAE Paper 940432.
[14]Donald S Sama.Diagnostic Equipment Development for Military-vehicle Application[J].SAE Paper 780029.