一．服務概述

此服務的目的是為客戶提供一種證明其身份的方法，允許其訪問數據和/或診斷服務，這些數據和/或診斷服務由于安全、排放或安全等原因而受到限制。 用于將例程或數據下載/上傳到服務器以及從服務器讀取特定內存位置的診斷服務可能需要身份驗證。 不正確的程序或下載到服務器的數據可能會潛在地損害電子設備或其他車輛部件，或危及車輛的排放、安全或安全標準的遵守。 另一方面，當從服務器檢索數據時，可能會違反數據安全性。
該服務支持兩個安全概念:
概念 1 ：基于使用非對稱密碼的 PKI 證書交換過程。
概念 2 ：基于不帶 PKI 證書的挑戰 – 應答過程，使用帶有軟件身份驗證令牌或對稱密碼的非對稱加密算法。
有關身份驗證服務的概述，如下圖所示：

圖片摘自ISO 14229
子功能定義：
?“ deAuthenticate ”，此子功能參數有效地結束認證狀態。
?“ VerfyCertificateUnidirectional ”，此子功能參數啟動單向身份驗證過程，僅針對 ECU 對測試儀進行單向身份驗證。
? “verifyCertificateBidirectional”， 這個SubFunction參數啟動雙向身份驗證過程，客戶端對服務器進行身份驗證，服務器對客戶端進行身份驗證。
?“ proofOfOwnership ”，此子功能參數用于將所有權證明數據傳輸到測試儀。
?“ TransmitCertificate ”，此子功能參數獨立或在先前的身份驗證之后傳輸證書。

二、基于PKI 證書交換的認證Authentication with PKI Certificate Exchange (APCE)

前提條件：
雙方(客戶端和服務器)應提供不同的證書(以及相應的私鑰):
— 在單向身份驗證的情況下，客戶端需要一個帶有其私鑰的證書，這允許客戶端將自己標識為合法的客戶端。根據PKI的信任模型，服務器可能需要由頒發和簽署客戶端證書的頒發機構(CA) 頒發和簽署的證書。
— 雙向認證時，客戶端需要一個帶有私鑰的證書，以證明客戶端是合法的。此外，服務器還需要一個帶有私鑰的證書，這允許服務器將自己標識為合法。根據公PKI的信任模型，客戶端和服務器可能需要證書頒發機構(CA)頒發的證書，CA頒發并簽署了客戶端證書和服務器證書。

認證流程

圖片摘自ISO 14229
認證過程概述：
1 測試人員向 ECU 發出身份驗證請求；
2. 在此請求消息中，包含測試儀的證書；
3. 收到請求消息后，ECU 將驗證測試儀的證書；
4. 如果通過了證書驗證，則 ECU 創建一個挑戰 ；
5，6 取決于認證所使用的算法及是否雙向認證；
7.并將挑戰發送回測試人員；
8. 只是雙向認證用到；
9.取決于認證所用到的算法
10. 測試人員通過簽署挑戰 ECU 來計算所有權證明測試人員；
11. 測試人員將所有權證明發送給 ECU ；
12. ECU 用收到的證書測試器中的公鑰驗證所有權證明測試器；
13.用來創建會話密鑰（可選）；
14.設定訪問權限；
15. 如果通過了所有權證明的驗證，則 ECU 返回響應或者會話密鑰（會話密鑰可選）；
16，17，18用來設定會話密鑰
最后. ECU 響應認證成功。

三、基于挑戰應答的認證Authentication with Challenge-Response (ACR)

前提條件：
— 在使用非對稱加密的情況下，客戶端密鑰對必須存在:客戶端私鑰必須存在于客戶端，客戶端公鑰必須存在于服務器端。在雙向認證的情況下，需要有一個額外的服務器密鑰對:服務器中需要有服務器私鑰，客戶端中需要有服務器公鑰。
— 在使用對稱加密的情況下，一個對稱密鑰應該存在，并且應該在客戶端和服務器之間預共享。
認證流程
圖片摘自ISO 14229
認證流程概述
1 測試人員通過 SubFunction requestChallengeForAuthentication 請求認證。
2. ECU 創建挑戰
3. ECU 將挑戰發送給測試人員。（14229圖中的序號錯誤應該為3）
4. 雙向認證時需要
5. 測試人員計算測試人員的所有權證明如下：
如果非對稱密碼時:構建適當的(特定于汽車制造商的)令牌(例如，基于CVC)內容，包含令牌授權、身份驗證、權限/角色、服務器端質詢信息，以及客戶端質詢信息和其他信息，視情況而定。使用客戶私鑰計算令牌內容簽名，并構建包含令牌內容和簽名的客戶端身份驗證令牌。產生的客戶端身份驗證令牌是客戶端POWN。
如果使用對稱密碼：使用預共享的對稱密鑰，通過 ECU 側 Challenge 來計算簽名（例如，一次簽名 或 HMAC 或 CMAC ）。生成的簽名是測試者方 POWN 。
6. 如果服務器在步驟3中指示了其他參數，那么客戶端在需要的附加參數中提供適當的附加參數。
7. 測試人員通過子功能 verifyProofOfOwnershipUnidirectional 發送測試人員端 POWN 。
8. ECU 驗證測試儀側 POWN 。
11. 如果驗證成功，ECU 根據訪問權限授予對診斷對象的訪問權限。
9，10，12~16 取決于是否雙向認證和是否需要會話密鑰

四、服務格式

具體服務格式請參考ISO 14229-1 2020版

總結

以上是生活随笔為你收集整理的UDS 安全认证29服务概述的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。