CN107026840A

CN107026840A - 安全车辆网络架构

Info

Publication number: CN107026840A
Application number: CN201611045086.5A
Authority: CN
Inventors: A·帕雅尼; D·L·科瓦列夫斯基; J·M·费尔南多; E·R·艾维奇科
Original assignee: Faraday and Future Inc
Current assignee: Faraday and Future Inc
Priority date: 2015-11-20
Filing date: 2016-11-21
Publication date: 2017-08-08
Also published as: US20170150361A1

Abstract

本公开的实施例可以通过区分在车辆网络的不同层的通信并根据网络层使用不同的安全级别来提供车辆网络中的安全通信。例如，在相同域中的不同电子控制单元(ECU)(例如，动力系域中的两个ECU)之间的通信可能不需要与从不同域中的ECU(例如，底盘域)或从车辆外部的设备发起的通信一样高的安全性。这可以允许增加的安全性(在这种情况下，损害可能性更大，例如当通信源自车辆外部时)以及降低的安全性(在这种情况下，损害可能性较小而性能是更大的顾虑，例如在车辆内的ECU之间和/或在同一个域的通信)。

Description

安全车辆网络架构

技术领域

本发明主要涉及车辆(如汽车)的电子控制单元的数据通信。

背景技术

现代车辆(特别是汽车)越来越多地包括允许车辆经常通过互联网与其他设备通信的连接特征。例如，智能手机可以用于对车门进行锁定和开锁，因此安全性成为所有连接车辆的问题。然而，安全协议(如加密)可能是耗时且系统密集的，因此使得对于需要实时相互通信的车辆系统来说是不切实际的。

发明内容

附图说明

图1示出了根据本公开的实施例的用于车辆网络中的安全通信的示例性系统；

图2A-2B示出了根据本公开的实施例的车辆网络中的安全通信的示例性方法；

图3示出了根据本公开的实施例的用于车辆网络中的安全通信的示例性系统。

具体实施方式

在下面对实施例的描述中，参考附图为构成本文的一部分，并且其中通过图示的方式示出了可以实施的特定实施例。应当理解，在不脱离所公开的实施例的范围的情况下，可以使用其他实施例并且可以进行结构改变。

尽管本公开的示例(例如，图1)仅示出四个域(动力系域，底盘域，高级驾驶员辅助系统域和主体域)，但示例不限于此，并且可以具有任何数量或配置的域。尽管本公开的示例描述了多个域(每个域包括多个ECU)，但是示例不限于此并且可以具有包括车辆中的所有ECU的单个域和/或多个域(其中一些仅包括单个ECU)。此外，尽管本公开的示例描述了使用CAN消息，但是示例不限于此，并且可以使用如本地互连网络(LIN)或串行外围接口(SPI)等的其它低带宽通信协议。

图1示出了根据一些实施例的用于车辆网络中的安全通信的示例性系统。车辆100可以包括通信网络，其允许各个ECU彼此通信，允许各个ECU与车辆里的其他设备以及远离车辆(例如，连接互联网)的设备通信。ECU可以是控制车辆(如，汽车)中一个或多个电气系统或子系统的任何嵌入式系统。ECU的示例包括发动机控制模块、速度控制单元、动力系控制模块、变速器控制模块、制动控制模块和/或门控制单元，以及许多其它可能性。每个ECU可以传送与其操作相关的数据。例如，速度控制单元可以输出当前速度，门控制单元可以输出指示每个门是打开、关闭、锁定还是解锁等的状态。

在一些实施例中，ECU可以依据功能被组织成多个域。例如，图1示出了动力系域104、底盘域106、高级驾驶员辅助系统(ADAS)域108和主体域110。每个域可以包括一个或多个ECU及其自己的域控制器，域控制器可以用于充当域内或域外的任何通信的防火墙。此外，不同域中的ECU可以经由中心集线器102连接在一起，中心集线器102允许与远程设备(例如，经由通过网络(如因特网)连接到云设备112的蜂窝调制解调器114)通信。

ECU之间的通信可以使用控制器局域网(CAN)消息。该通信协议被广泛使用并且具有低开销。然而，CAN数据包传统上限制为8字节，并且标准的CAN工具不能用于调试和查看CAN流量。在一些实施例中，每个域的域控制器可以经由以太网连接到中心集线器102，并且域控制器可以充当CAN总线上的域内通信与基于以太网的域外通信的网关。通过在以太网上发送CAN消息，可以更容易地使用安全协议(如加密和验证)。

如图1所示，可以根据车辆中的通信层使用不同的安全级别。在一些实施例中，高安全级别可以用于涉及远程设备的任何通信(例如，经由蜂窝调制解调器114与云112的任何通信)。高安全级别可以包含(例如，使用传输层安全性(TLS))加密传输层和/或(例如，通过验证通信源的媒体访问控制(MAC)地址)验证通信源。此外，在一些示例中，可以通过确定通信的消息类型并将其与允许消息类型的列表进行比较来验证消息的内容。如果该消息类型包括在列表中，则该消息可以被传递，但是如果该消息类型不包括在列表中，则该消息可能被丢弃而不被传递。

在一些实施例中，可以使用中安全级别来传送域之间或中心集线器和ECU之间的任何消息。中安全级别可以包括用于高安全级别的安全协议的子集。例如，可以验证在中安全级别的任何通信(例如，通过验证MAC地址和/或验证消息类型)，但是可以不对其进行加密。在一些示例中，中安全级别可以涉及一些加密，该加密比在高安全级别使用的加密方法速度更快和/或较不安全。任何安全级别的加密和/或验证可以在中心集线器和/或特定域的域控制器处执行。因为可以使用如以太网等协议来执行中安全级别和高安全级别的通信，所以可以容易地执行标准验证和加密方法以使通信安全。

在一些实施例中，可以使用低安全级别来传送相同域中的ECU之间的任何消息。低安全级别可以包括用于中安全级别的安全协议的子集。在一些实施例中，低安全级别可以不包括任何种类的加密或验证，并且可以在不使用以太网的情况下通过CAN总线执行。

图2A示出了根据一些实施例的在车辆中的中心集线器和多个电子控制单元之间进行通信的示例性方法。CAN消息可以从源被传送到多个电子控制单元中的第一电子控制单元。安全级别可以基于CAN消息的源来确定(201)。如果CAN消息的源是多个电子控制单元中的一个，则CAN消息可以被以第二安全级别(例如，低安全级别)传送到第一电子控制单元。例如，如果多个电子控制单元属于第一域并且CAN消息在第一域内发送，则CAN消息可以被以低安全级别传送(205)。在一些实施例中，域内通信可以在不支持安全协议(如验证和加密)的CAN总线(不是以太网)上进行。

如果CAN消息的源不是多个电子控制单元中的一个，则CAN消息可以以第一安全级别(例如，中安全级别)被传送到第一电子控制单元。例如，如果CAN消息的源是与第一域不同的第二域的附加的多个ECU，则可以以中安全级别传送CAN消息(203)。在一些实施例中，CAN消息的源可以在车辆外部，并且因此CAN消息可以以第三安全级别(例如，高安全级别)传送(207)。在任一情况下，可以使用安全协议(如加密和/或认证)，因为通信使用支持那些安全方法的协议(例如以太网)。在一些实施例中，以相对高的安全级别(例如，如本文所描述的中安全级别或高安全级别)进行通信可以包括在如上所述的域控制器或中心集线器处执行加密/解密和/或验证。

图2B示出了在车辆中的中心集线器和多个电子控制单元之间进行通信的方法。可以在中心集线器处接收CAN消息(209)，以传递到多个电子控制单元中的第一电子控制单元。CAN消息的消息类型可以被识别(211)，然后可以基于消息类型是否属于允许消息类型的列表来选择性地传递消息(213)。如果CAN消息的消息类型属于允许消息类型的列表，则CAN消息可以被传递到第一电子控制单元(217)；如果CAN消息的消息类型不属于允许消息类型的列表，则CAN消息可能被丢弃而不被传递到第一电子控制单元(219)。例如，允许消息类型的列表可以包括锁定和解锁门、调整窗口等，以及不允许消息类型可以包括施加制动、加速等。在这样的示例中，用于加速的任何消息将被丢弃而不被传递。

图3示出了根据本公开的实施例的用于车辆网络中的安全通信的示例性系统700。系统700可以包括CPU 704、存储器702、内存706和显示器708。CPU 704可以执行参考图1-2B所示和所描述的方法。另外，存储器702可以存储用于执行参考图1-2B所示出和所描述的方法的数据和指令。存储器可以是任何非暂态计算机可读存储介质，如固态驱动器或硬盘驱动器以及其它可能性。用户界面可以显示在显示器708上。

系统700可以通过有线或无线网络710(如局域网、广域网或因特网，以及其他的可能性)与一个或多个远程设备712、714和716通信。本文公开的方法的步骤可以在单个系统700上或在包括远程设备712、714和716的若干系统上执行。

尽管已经参照附图完整地描述了所公开的实施例，但是应当注意，各种改变和修改对于本领域技术人员将是显而易见的。这样的改变和修改将被理解为包括在由所附权利要求限定的所公开的实施例的范围内。

Claims

1.一种车辆，包括：

中心集线器；以及

连接到所述中心集线器的多个电子控制单元；

其中，所述多个电子控制单元被配置，以使得在所述中心集线器和所述多个电子控制单元之间以第一安全级别传送第一组控制器局域网CAN消息，以及在所述多个电子控制单元之间以低于所述第一安全级别的第二安全级别传送第二组CAN消息。

2.根据权利要求1所述的车辆，其中以所述第一安全级别传送所述第一组CAN消息包括验证所述第一组CAN消息中的每个相应CAN消息的源，并且以所述第二安全级别传送所述第二组CAN消息不包括验证所述第二组CAN消息中的每个相应CAN消息的源。

3.根据权利要求2所述的车辆，其中验证所述第一组CAN消息中的每个相应CAN消息的源包括验证所述源的媒体访问控制MAC地址。

4.根据权利要求1所述的车辆，其中以所述第一安全级别传送所述第一组CAN消息包括将所述第一组CAN消息中的每个相应CAN消息的消息类型与允许消息类型的列表进行比较，并且以所述第二安全级别传送所述第二组CAN消息不包括将所述第二组CAN消息中的每个相应CAN消息的消息类型与所述允许消息类型的列表进行比较。

5.根据权利要求1所述的车辆，其中所述中心集线器被配置，以使得在所述中心集线器和通过网络连接到所述中心集线器的一个或多个远程设备之间以高于所述第一安全级别的第三安全级别传送第三组CAN消息。

6.根据权利要求5所述的车辆，其中以所述第三安全级别传送所述第三组CAN消息包括加密所述第三组CAN消息，以及以所述第一安全级别传送所述第一组CAN消息不包括加密所述第一组CAN消息。

7.根据权利要求1所述的车辆，其中所述车辆进一步包括：

多个域，每个域包括CAN总线和在所述CAN总线和所述中心集线器之间接口的域控制器。

8.根据权利要求7所述的车辆，其中每个域控制器经由以太网与所述中心集线器接口。

9.根据权利要求7所述的车辆，其中所述多个电子控制单元都属于所述多个域中的第一域，并且所述多个电子控制单元经由所述第一域的相应CAN总线彼此连接。

10.一种在车辆中的中心集线器和多个电子控制单元之间进行通信的方法，所述方法包括：

将来自源的控制器局域网CAN消息传送到所述多个电子控制单元中的第一电子控制单元；

其中，根据所述CAN消息的源不是所述多个电子控制单元中的一个，将所述CAN消息以第一安全级别传送到所述第一电子控制单元；以及

根据所述CAN消息的源是所述多个电子控制单元中的一个，将所述CAN消息以低于所述第一安全级别的第二安全级别传送到所述第一电子控制单元。

11.根据权利要求10所述的方法，其中，根据所述CAN消息的源在车辆外部，将所述CAN消息以高于所述第一安全级别的第三安全级别传送到所述第一电子控制单元。

12.根据权利要求10所述的方法，其中，

所述多个电子控制单元属于第一域，并且附加的多个电子控制单元属于与所述第一域不同的第二域；

进一步根据所述CAN消息的源是属于所述第二域的所述附加的多个电子控制单元中的一个，将所述CAN消息以所述第一安全级别传送到所述第一电子控制单元；以及

进一步根据所述CAN消息的源是属于所述第一域的所述多个电子控制单元中的一个，将所述CAN消息以所述第二安全级别传送到所述第一电子控制单元。

13.一种存储指令的非暂态计算机可读存储介质，所述指令在由一个或多个处理器执行时，使所述处理器执行在车辆中的中心集线器和多个电子控制单元之间进行通信的方法，所述方法包括：

14.一种存储指令的非暂态计算机可读存储介质，所述指令在由一个或多个处理器执行时，使所述处理器执行在车辆中的中心集线器和多个电子控制单元之间进行通信的方法，所述方法包括：

在所述中心集线器处接收控制器局域网CAN消息，以传递到所述多个电子控制单元中的第一电子控制单元；

识别所述CAN消息的消息类型；

根据所述CAN消息的消息类型属于允许消息类型的列表，将所述CAN消息传递到所述第一电子控制单元；以及

根据所述CAN消息的消息类型不属于所述允许消息类型的列表，丢弃所述CAN消息而不传递到所述第一电子控制单元。

15.一种系统，包括：

一个或多个处理器；以及

存储器；

其中所述一个或多个处理器被配置为执行在车辆中的中心集线器和多个电子控制单元之间进行通信的方法，所述方法包括：

16.一种车辆，包括：

一个或多个处理器；以及

存储器；

识别所述CAN消息的消息类型；