CN109299029A - 用于更新至少一个规则的节点、车辆、集成电路和方法 - Google Patents
用于更新至少一个规则的节点、车辆、集成电路和方法 Download PDFInfo
- Publication number
- CN109299029A CN109299029A CN201810823434.XA CN201810823434A CN109299029A CN 109299029 A CN109299029 A CN 109299029A CN 201810823434 A CN201810823434 A CN 201810823434A CN 109299029 A CN109299029 A CN 109299029A
- Authority
- CN
- China
- Prior art keywords
- node
- message
- bus
- franchise
- safety regulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 38
- 230000005540 biological transmission Effects 0.000 claims abstract description 37
- 230000015654 memory Effects 0.000 claims abstract description 34
- 238000001914 filtration Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 description 8
- 238000005520 cutting process Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000004087 circulation Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000000151 deposition Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000001066 destructive effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- VYPSYNLAJGMNEJ-UHFFFAOYSA-N Silicium dioxide Chemical compound O=[Si]=O VYPSYNLAJGMNEJ-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 239000011469 building brick Substances 0.000 description 1
- 229910052799 carbon Inorganic materials 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000009432 framing Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000003071 parasitic effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0784—Routing of error reports, e.g. with a specific transmission path or data flow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Small-Scale Networks (AREA)
- Quality & Reliability (AREA)
- Mechanical Engineering (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
Abstract
描述用于更新在具有CAN总线和主机处理器的控制器区域网中的至少一个安全规则的第一节点,第一节点包括:在CAN总线上传输和接收消息的收发器;可操作地耦合到收发器并且确定借助接收的消息包含的标识符的CAN控制器;和存储器,包含第一节点被允许传输消息到的且/或从中接收消息的至少一个第二节点的ID的列表。存储器包括识别第一节点并且仅与第一节点相关联的特权节点ID,并且CAN控制器产生待发送到在CAN中的至少一个第二节点的至少一个CAN安全规则更新消息,其更新由在CAN中的至少一个第二节点采用的至少一个安全规则。
Description
技术领域
本发明涉及用于更新至少一个控制器局域网(CAN)安全规则,并且具体来说,用于非加密地更新CAN标识符列表的节点、车辆、集成电路和方法。
背景技术
控制器局域网(CAN)为可高效支持具有高可靠性水平的分布式实时控制的串行通信协议。CAN应用的范围可从高速网络到低成本多路布线。CAN总线是通常在汽车内使用的基于消息的通信总线协议。CAN总线协议用于实现在各个电子控制单元(ECU)之间的通信,所述ECU如发动机控制模块(ECM)、传动系控制模块(PCM)、安全气囊、防抱死刹车、巡航控制、电动助力转向、音频系统、窗户、车门、后视镜调整、用于混合/电动汽车的电池和再充电系统等等。CAN协议的数据链路层标准化为国际标准组织(ISO)11898。
对车载网路(如,使用CAN总线协议的车载网路)的一个日益关注的问题是网络安全。目前,有可能的是,连接到ECU的恶意装置能够读取在CAN总线上路由的消息,但适用于所述ECU,并且可能通过CAN总线网络执行恶意操作。因此,重要和期望的是,为车载网络增加提高的安全,其中一个已知方法为采用加密技术。然而,加密技术需要密钥管理系统以及硬件加速以便遵守实时限制。
相比之下,如果制造商接受这些规则可仅被编程一次且不招致依赖于实时加密对策的高成本,那么非加密对策同样为已知的并且很好地起作用。为了抵抗潜在恶意攻击,已开始开发将非加密对策(如在CAN总线上的消息切断、过滤传输和限制传输速率)用于在CAN总线上操作的CAN收发器。附加非加密对策描述在收发器中过滤接收。为了这些非加密对策起作用,需要存在节点标识符(ID)的列表,或在速率限制情况下的带宽设定。在过滤传输方法的情况下,CAN收发器具有节点ID的列表,主机被允许发送所述列表并且拒绝发送不在列表上的任何ID。这提供针对被破解主机试图冒充另一个节点或篡改在CAN总线上消息的一些防御。在在收发器方法中过滤接收的情况下,存在指示允许主机接收的那些消息的ID列表。因此,如果从CAN总线接收ID不在此列表上的消息,那么收发器可丢弃此消息。这提供针对被破解主机共享在CAN总线上存在的所有消息的一些防御。在限制传输速率方法的情况下,CAN收发器还可用于限制允许其主机在CAN总线上占据的带宽的量。举例来说,CAN收发器可限制单位时间的消息量。这提供针对呈洪泛路由形式的服务拒绝攻击的一些防御。最后,支持在CAN总线上消息切断的方法仅为不基于在被破解主机和CAN总线之间存在CAN收发器的概念的对策。此对策具有属于所述节点的在收发器中的标识符列表,但是现在监测CAN总线以确定其它节点是否(或不)正在使用这些标识符。通过在CAN总线上发布错误(如果错误的确存在),此对策提供针对在此列表中的其它节点冒充标识符的一些防御。
然而,本发明的发明人已认识并且理解,需要标识符的列表以便起作用的已知非加密对策不灵活,因为节点ID需要在启动时被编程。具体来说,本发明的发明人已认识和理解,已知非加密对策不涵盖或提供机制的任何教导内容,所述机制用于更新这些安全规则或标识符列表,或者带宽设定,或用于支持更新形成非加密(安全)对策的基础的安全规则的任何机会。
乍一看,可看出,设计可仅提议经由主机更新安全规则或标识符列表。然而,技术人员应理解,除消息切断之外,此方法渐渐损害非加密对策的目的,因为那些非加密对策防御被破解主机并且因此隐含地不信任所述主机。因此,技术人员将通常求助于使用加密算法以便当将‘新规则’编程到CAN收发器中时提供验证和完整性。显而易见,这失去使用非加密对策的益处。
因此,本发明的发明人已认识并且解决以下需要:通过非加密手段更新在收发器中的安全对策,并且具体地更新节点ID列表。
发明内容
根据本发明的第一方面,提供一种用于更新在具有CAN总线和主机处理器的控制器区域网(CAN)中的至少一个安全规则的第一节点,所述第一节点包括:
被配置成在所述CAN总线上传输和接收消息的收发器;
可操作地耦合到所述收发器并且被配置成确定借助接收的消息包含的标识符(ID)的控制器;和
可操作地耦合到所述控制器并且被配置成包含以下中的至少一个的存储器:ID的列表,所述第一节点被允许传输消息到的且/或从中接收消息的至少一个第二节点的至少一个安全规则参数;
其中所述第一节点特征在于所述存储器包括被配置成识别所述第一节点并且仅与所述第一节点相关联的特权节点ID,并且所述控制器被配置成产生至少一个安全规则更新消息并且将其发送到在所述CAN中的所述至少一个第二节点,所述安全规则更新消息更新由在所述CAN中的所述至少一个第二节点采用的至少一个安全规则。
在一个或多个实施例中,所述至少一个安全规则更新消息包括CAN总线标识符列表的非加密更新。
在一个或多个实施例中,所述至少一个安全规则更新消息包括以下中的至少一个的非加密更新:每个节点被允许传输消息的消息速率、应用到每个节点被允许发送的数据分组的数据大小的限制、总线帧的物理属性或时序。
在一个或多个实施例中,响应于所述收发器在所述CAN总线上接收消息和所述控制器确定所述接收的消息包括所述特权节点ID,所述控制器进一步被配置成通过在所述消息结束之前在所述CAN总线上发布错误消息来切断在所述CAN总线上的所述接收的消息,其中在所述CAN总线上发布的所述错误消息识别恶意节点的存在。
在一个或多个实施例中,由所述第一节点通过所述CAN总线发送的所述消息包括所述特权节点ID、消息的既定接收者的标识符、至少一个控制位和数据有效载荷,其中所述数据有效载荷被配置成识别安全规则更新消息类型。
在一个或多个实施例中,所述数据有效载荷的字节的第一数字被配置为所述既定接收者节点的ID。
在一个或多个实施例中,所述数据有效载荷进一步包括识别所述安全规则更新消息的更新序列的开始位置和停止位置的参数,所述开始位置和停止位置之间散布有将所述消息识别为用于所述识别的第二节点的过滤规则更新消息的所述既定接收者节点的所述ID。
在一个或多个实施例中,所述特权节点ID被配置成可由在所述CAN总线中的多个第二节点识别以更新其中存储和应用的至少一个安全规则。
在一个或多个实施例中,所述第一节点为再编程第二节点,其中所述第一节点用所述特权节点ID和标识符列表再编程,所述标识符列表识别实施所述至少一个更新的安全规则的在所述CAN总线上的所有其它节点。
在一个或多个实施例中,所述第一节点为多个特权节点中的一个,相关联的每个特权节点具有相应特权节点ID,其中所述第一节点的所述特权节点ID被配置成更新所述其它特权节点被阻止更新的至少一个安全规则。
根据本发明的第二方面,提供一种车辆,包括本文中所公开的任何的第一节点。
根据本发明的第三方面,提供一种用于第一节点的集成电路,所述第一节点用于更新在具有CAN总线和主机处理器的控制器区域网(CAN)中的至少一个安全规则,所述集成电路包括:
可操作地耦合到收发器并且被配置成确定包含于在所述CAN总线上接收的消息中的标识符(ID)的控制器;和
可操作地耦合到所述控制器并且被配置成包含以下中的至少一个的存储器:ID的列表,所述第一节点被允许传输消息到的且/或从中接收消息的至少一个第二节点的至少一个安全规则参数;
其中所述集成电路特征在于所述存储器包括被配置成识别所述第一节点并且仅与所述第一节点相关联的特权节点ID,并且所述控制器被配置成产生至少一个安全规则更新消息并且将其发送到在所述CAN中的所述至少一个第二节点,所述安全规则更新消息更新由在所述CAN中的所述至少一个第二节点采用的至少一个安全规则。
根据本发明的第四方面,提供一种用于更新在具有CAN总线和主机处理器的控制器区域网(CAN)中的至少一个安全规则的方法,所述方法包括,在第一节点处:
在存储器中存储在所述CAN中的至少一个第二节点的标识符(ID)的列表,所述第一节点被允许将消息传输到所述第二节点且/或从所述第二节点接收消息;和
在所述CAN总线上传输和接收消息;
其中所述方法特征在于:
在存储器中存储被配置成识别所述第一节点并且仅与所述第一节点相关联的特权节点ID;和
产生待发送到在所述CAN中的所述至少一个第二节点的至少一个CAN安全规则更新消息,其更新由在所述CAN中的所述至少一个第二节点采用的至少一个安全规则。
在一个或多个实施例中,所述方法进一步包括:
在所述CAN总线上接收消息;
确定借助所述接收的消息包含的标识符(ID)包括所述特权节点ID;和
作为对其的响应,在所述CAN总线上切断所述消息。
本发明的这些和其它方面将根据下文中所描述的实施例显而易见,且参考这些实施例予以阐明。
附图说明
将参考附图仅借助于例子来描述本发明的另外细节、方面和实施例。在附图中,相同附图标记用于识别同一或功能上类似的要素。附图中的要素为简单和清楚起见被示出并且不必按比例绘制。
图1示出采用根据本发明的例子实施例适配的总线网络(如控制器局域网(CAN)总线)的车辆。
图2示出根据本发明的例子实施例适配的CAN收发器的例子。
图3示出根据本发明的例子实施例采用的总线帧(如CAN帧)的例子。
图4示出根据本发明的例子实施例适配的CAN收发器的更详细例子。
图5示出根据本发明的例子实施例的用于更新CAN标识符列表,并且具体来说,用于非加密地更新列表的方法的例子流程图。
具体实施方式
本发明的例子涉及CAN收发器,其实施非加密安全对策,如在CAN总线上过滤传输和接收,或限制传输速率,或消息切断,由此该CAN收发器能够得益于非加密手段来更新CAN收发器依赖于而进行操作的一个或多个安全规则。虽然参考与更新标识符列表有关的更新一个或多个安全规则来描述本发明的例子,但是可以设想本发明的其它例子可与更新任何安全相关规则一起采用,如更新允许每个节点传输消息的消息速率。可以设想本发明的其它例子可与更新任何限制一起采用,所述限制应用于每个节点所允许发送的分组的数据大小。可以设想本发明的其它例子可用于更新CAN帧的任何方面或物理属性或时序。可以设想本发明的其它例子可与更新用于在CAN上的一个或多个节点的白名单或黑名单一起采用。可以设想术语‘安全规则’涵盖涉及在CAN内维持安全的所有这类规则。
本发明的例子引入新节点或再分配/再编程现有CAN节点以用作具有特权的唯一CAN ID的特权CAN收发器,其由在CAN上的每个其它CAN收发器识别。以此方式,只有在CAN上的‘特权’节点被配置成能够传输包括CAN特权节点ID的消息的节点。其后,特权节点能够传输包括特权节点ID和接收节点的唯一ID的消息以单独更新在待由在所述接收节点中的CAN收发器中采用的在所述接收节点中的安全规则。在本发明的例子中,在网络中没有其它节点能够发送安全规则更新消息(例如由于以下项的防止:在网络上的那些节点中采用的传输过滤,和识别节点不被允许传输使用替代节点ID如特权节点ID的消息)。在一些例子中,特权节点可被配置成切断已使用(例如冒充)特权节点ID的任何这类消息。
如在图3中更详细地示出的,通过CAN网络总线发送的CAN消息包括标识符、控制位和有效载荷。在本发明的一些例子中,由特权CAN节点或收发器采用的特权CAN ID可同样用于识别特定消息类型,例如向接收节点指示CAN消息为‘更新’消息。在一些例子中,特权节点还被配置成与其它CAN节点/收发器一起采用以下中的至少一个:在背景部分中描述的‘过滤传输’、‘消息切断’对策,以确保仅特权节点(具有特权CAN ID)能够发送具有此特权ID的CAN消息。以此方式,特权ID的使用被认为是仅允许由特权节点自身使用。
在一些例子中,ID列表更新机制假定在网络上的所有节点在安全CAN收发器后,并且起码特权节点不可由恶意节点或作案者通过直接手段接入。然而,如果我们假定远程逻辑攻击(其同样为在已知技术中安全对策防御的对象)的可能性,那么本文描述的对策更新机制的例子在不需要加密的情况下提供进一步程度的安全。
在一些例子中,可以设想替代方式指令已进行更新的特权节点。举例来说,特权节点可连接到因特网或特权节点可由监测装置以本地方式访问,比方说由通知特权节点所实施安全更新特征的汽车机械师或商店操作。
在一些例子中,同样设想,为了最小化风险,同样可能指定具有可分别更新的不同规则的多个特权节点。在此例子中,每个特权节点与具有相应特权节点ID相关联,其中第一节点的特权节点ID被配置成更新其它特权节点被阻止更新的至少一个安全规则(或至少一个安全规则类型)。举例来说,一个特权节点可被配置成更新传输ID,而非接收ID,而另一个特权节点可被配置成更新接收ID,而非传输ID。设想又一例子,其中一个特权节点可被配置成更新CAN节点的一(第一)半,但不更新另一(第二)半,并且其它特权节点可被配置成更新CAN节点的另一(第二)半,但不更新第一半。可以设想,此例子可扩展到三个或更多个特权节点,其中所述特权节点中的每一个具有其自身唯一特权CAN ID。以此方式,若特权节点中的一个被破解,那么有利地,攻击者可不能够同时停用所有安全特征。
在本发明的第一方面,描述第一节点(本文另外称作特权节点),其用于更新在具有CAN总线和主机处理器的控制器局域网(CAN)中的至少一个安全规则。第一节点包括被配置成在CAN总线上传输和接收消息的CAN收发器;可操作地耦合到CAN收发器(或包含于CAN收发器内,如图所示)并且被配置成确定借助所接收消息包含的标识符(ID)的控制器(例如CAN控制器);和可操作地耦合到控制器并且被配置成包含以下中的至少一个的存储器:ID的列表,第一节点被允许将消息传输到的且/或从中接收消息的至少一个第二节点的至少一个安全规则参数。第一节点存储器包括被配置成识别第一节点并且仅与第一节点相关联的特权节点ID。控制器被配置成产生至少一个(或多个)安全规则更新消息并且将其发送到在CAN中的至少一个第二节点,该更新消息更新由在CAN中的至少一个第二节点采用的至少一个安全规则。以此方式,对由在CAN中节点采用的安全规则的更新可通过第一/特权节点配置,因为在CAN中的剩余节点识别安全规则更新消息仅从由特权节点ID识别的特权节点接收。
在一些例子中,至少一个更新消息安全规则可包括CAN标识符列表的非加密更新。以此方式,可支持贯穿整个CAN的CAN总线标识符列表的非加密更新。在一些例子中,安全规则更新消息可包括以下中的至少一个的非加密更新:每个节点被允许传输消息的消息速率、应用到每个节点被允许发送的数据分组的数据大小的限制、总线帧的物理属性或时序。在一些例子中,响应于收发器在CAN总线上接收消息以及(例如CAN)控制器确定所接收消息包括特权节点ID,(例如CAN)控制器可进一步被配置成切断在CAN总线上的所接收消息,其中通过发布可由在总线上的每一者读取的在CAN总线上的错误来执行消息切断。在一些例子中,(例如CAN)控制器可被进一步配置成在CAN总线上传输错误消息,所述错误消息由在总线上的每一节点看到并且不可寻址到在总线上的特定节点,使得错误消息识别存在恶意节点。以此方式,特权节点能够确定存在冒充自身的恶意节点并且通过在总线上发布错误来使来自所述恶意节点的消息无效,其中在总线上发布的错误消息可识别恶意节点的存在。
在一些例子中,由第一节点通过CAN总线发送的CAN消息可包括特权节点ID、消息的既定接收者的标识符、至少一个控制位和数据有效载荷,其中数据有效载荷被配置成识别安全规则更新消息类型。在一些例子中,数据有效载荷的字节的第一数字可被配置为既定接收者节点的ID。在一些例子中,数据有效载荷可进一步包括识别规则更新消息的更新序列的开始位置和停止位置的参数,在开始位置和停止位置之间散布有既定接收者节点的ID,所述既定接收者节点识别消息为用于所识别第二节点的过滤规则更新消息。以此方式,已知CAN消息格式可适于支持在CAN内使用如通过第一特权节点产生的实时规则更新消息。
在一些例子中,特权节点ID被配置成可由在CAN中的多个第二节点识别,如同与被授权更新其中的至少一个安全规则的特权节点相关联。在一些例子中,第一节点可为再编程的第二CAN节点,其中第一节点被再编程有特权节点ID和标识符列表,该标识符列表识别在实施CAN规则的在CAN总线上的所有其它节点。
在本发明的第二方面中,描述包括第一方面的第一节点的车辆。在本发明的第三方面中,描述包括第一方面的第一节点的控制器和存储器的集成电路。在一些例子中,包括控制器和存储器的集成电路可耦合到独立收发器集成电路。
在本发明的第四方面中,方法用于更新在具有CAN总线和主机处理器的控制器区域网(CAN)中的至少一个安全规则。方法包括在第一节点处:在存储器中存储第一节点被允许传输消息到的且/或从中接收消息的在CAN中的至少一个第二节点的标识符(ID)的列表;和在CAN总线上传输和接收消息。方法进一步包括在存储器中存储被配置成识别第一节点并且仅与第一节点相关联的特权节点ID;和产生待发送到在CAN中的至少一个第二节点的至少一个CAN安全规则更新消息,其更新由在CAN中的至少一个第二节点采用的至少一个安全规则。
现参考图1,根据本发明的例子实施例示出采用总线网络(如控制器局域网(CAN)总线120)的车辆100的简化图。CAN总线120连接多个电子单元(被称作节点150),每个节点具有相应CAN收发器152和CAN微控制器154。在此例子中,并且根据本发明的实施例,节点中的一个已重新配置(或引入)为‘特权节点’160,所述节点具有其自身的CAN收发器162和CAN主机处理器或微控制器(在下文被称作CAN控制器164)。在其它例子中,可以设想特权节点160可为可经由车载诊断(OBD)端口耦合到CAN总线120的远程装置。
在本发明的例子中,第一节点(本文另外被称作特权节点160)被配置成更新在CAN中的至少一个安全规则。特权节点160包括被配置成在CAN总线上传输和接收消息的收发器162;和可操作地耦合到收发器162并且被配置成确定在所接收的消息内包含的标识符(ID)的至少一个CAN控制器164。存储器可操作地耦合到CAN控制器164并且被配置成包含以下中的至少一个:ID的列表,特权节点160被允许传输消息到的且/或从中接收消息的至少一个第二节点150的至少一个安全规则参数。特权节点ID存储在存储器中,在传输白名单中标记为166并且仅与特权节点160相关联。CAN控制器164被配置成产生至少一个(或多个)安全规则更新消息并且将其发送到在CAN中的至少一个第二节点150,该安全规则更新消息更新由在CAN中的至少一个第二节点150采用的至少一个安全规则。以此方式,对由在CAN中节点采用的安全规则的更新可通过特权节点160配置,因为在CAN中的剩余节点识别仅从由特权节点ID识别的特权节点160接收规则更新消息。
典型CAN消息由以下部分构成:标识符(11或29位)、控制位、数据(0-8字节)、循环冗余校验(15位)、应答域和帧结尾。本发明的例子可用接受11或29位ID的特权ID应用。(例如用于更新ID列表的)安全规则更新机制需要使用来自特权节点的CAN消息,该CAN消息发送到需要更新自身安全规则(例如其ID列表)的节点。由特权节点采用的CAN消息的一个例子格式在下表1中标识。
表1:
此处,具有特权ID的消息类型的数据有效载荷经重新配置以包括消息的既定接收者的节点ID和参数字段,在一些例子中数据有效载荷可为安全规则更新消息。在此例子中,将数据有效载荷的前4个字节设置成限定目标(既定接收者)节点150的ID。参数用于识别更新序列的开始和停止,并且在开始和停止值之间参数规定目标节点150,参数需要将那些标识符放入其过滤规则中。在其它例子中,例如取决于在系统中采用的CAN收发器的应用或数目,每个字段可使用不同格式或不同数目的字节。
此例子消息格式可如何用于更新一个或多个安全规则参数或ID列表的一个例子如下。可根据前述格式产生用于特权节点160的多个相异的CAN消息。CAN ID始终为特权ID,并且数据有效载荷的第一部分始终为既定接收者的节点ID。特权节点160仅改变参数字段以指定接收节点采纳的新消息(或安全规则更新)。
在一个例子中,特权节点160可限定例如用于参数字段的开始和停止的值。开始=0x00000001并且停止=0x00000003。在开始值和停止值之间,参数可等于转换成最高有效11或29位并且其中两个最低有效位设定成零的CAN ID。
因此,在消息列表1中示出消息的例子序列,其中||0*指示最低有效位(LSB)的剩余部分用零填充:
消息列表-1:
特权ID:节点ID,0x00000001
特权ID:节点ID,ID1||0*
特权ID:节点ID,ID2||0*
...
特权ID:节点ID,IDn||0*
特权ID:节点ID,0x00000003
其中:ID1到IDn表示待使用的新标识符列表。
在一些例子中,开始值还可用于指定哪一对策方法正在更新。举例来说,0x00000001可用于指示过滤传输规则正在更新,而0x00000011可用于指示过滤接收规则正在更新,而0x00000021可用于指示限制传输速率规则正在更新等,只要在此例子中最后两个最低有效位中的一个为非零。在这些例子中,节点ID限定目标节点150,其为特权节点用更新序列进行寻址的节点。
同样,此规则更新特征的重要方面(其在一些例子中包括ID列表更新)在于除特权节点160以外没有其它节点能够借助于例如传输拒绝用此特权ID发送消息。另外,在一些例子中,特权节点160被配置成监测CAN总线120以确定特权ID是否(或不)被恶意装置误用,并且如果作出这类确定,那么切断那些消息。这类消息切断事件防止最容易的物理攻击,如将软件狗附接到车载诊断(OBD)端口此外,整个系统的安全依赖于特权节点的安全,所以在一些例子中,特权节点160的此安全与CAN总线120的其余部分隔离。有利地,相比于必须确保在网络中每一单一节点(150、160)良好,确保一个节点(如特权节点160)良好便宜得多并且更具可管理性。
在此例子中,标准节点的CAN收发器152拒绝发送包括特权节点ID的任何消息。此外,特权节点160的CAN收发器162被配置成切断其确定正在试图冒充特权ID的任何消息。这样,更新机制的安全自身与特权节点160一样安全。
虽然本发明的例子参考如图1中所示出的车辆100(如汽车)描述,但是可以设想本文描述的概念可由使用CAN总线的任何装置使用,并且在一些例子中,在任何道路运输设备(如卡车、摩托车、公共汽车等)中使用。
图2示出根据本发明的例子实施例适配的具有特权节点160的CAN系统200的高水平概述。在一些例子中,特权节点160可得益于已经用已知标准节点实施的电路中的一些,所述标准节点已被适配成包括先前描述的非加密对策。在此方面,特权节点160包括CAN控制器164,其包括可在CAN收发器162中实施或耦合到CAN收发器162的控制器电路167。CAN收发器162(如对于标准节点的现有CAN收发器152已知的)已经具有区分接收消息的ID以及在CAN总线上的所接收帧的有效载荷数据和循环冗余校验(CRC)部分的能力。然而,根据本发明的例子,CAN收发器162被配置成能够确定特权节点的CAN控制器164是否被允许接收传入消息210。如果特权节点的CAN控制器164不被允许接收传入消息210,那么CAN收发器162将错误消息220发布到CAN控制器164以删除消息内容。在本发明的例子中,在CAN收发器162和CAN控制器164之间发送的错误消息220在特权节点160内部,比方说通过传输差分(TXD)管脚和接收差分(RXD)管脚。此外,在本发明的一些例子中,CAN控制器164例如在消息结束之前在CAN上发布错误消息,使得在CAN总线120上发布的错误消息识别存在对于定位在CAN总线上的所有其它第二节点150的恶意节点。
在一些例子中,可以设想特权节点的主机处理器(或微控制器)164可包括特权节点的CAN收发器162(或反之亦然,因为特权节点的收发器包括特权节点的CAN控制器164)。特权节点包括至少一个控制器167,其可定位在特权节点的CAN控制器164中或附近,但是在示出的例子中,控制器167还可包括在特权节点的CAN收发器162中。这向特权节点160提供接收并处理CAN消息的能力,所述CAN消息寻址到特权节点160自身(或寻址到特权节点160的CAN收发器162),而不是比方说CAN控制器164。
现参考图3示出根据本发明的例子实施例采用的总线帧(如CAN帧300)的例子。图3示出标准控制器局域网(CAN)协议的位域。CAN协议为众所周知的,因此省略CAN协议的详细讨论以免混淆本公开。SOF为帧位的单一显性开始,其标记消息的开始并且用于在空闲之后同步在CAN总线上的CAN节点。11位ID为建立消息优先级的标准CAN11位标识符。二进位值越低,其优先级越高。当需要来自另一个节点的信息时,单一远程传输请求(RTR)位为显性的。所有节点接收请求,但是标识符确定指定的节点。响应数据同样通过所有节点接收并且由所关注的任何节点使用。显性单一标识符扩展(IDE)位是指不具有扩展的标准CAN标识符被传输。保留位(r0)保留用于未来CAN标准修正。4位数据长度码(DLC)包含被传输数据的字节的数目。至多64位的应用程序数据可包含在一个CAN消息中。16位(15位加分隔符号)循环冗余校验(CRC)包含用于错误检测的前述应用程序数据的校验和(所传输的位的数目)。
接收精确消息的每一个节点用显性位在初始消息中复写此隐性位ACK,指示无错误消息已被发送。若接收节点检测到错误并且使此位隐性,接收节点丢弃该消息并且发送节点在再仲裁之后重复消息。以此方式,每个节点确认(ACK)其数据的完整性。ACK为2位,一个为应答域并且第二个为分隔符号。
帧结尾(EOF)为标记CAN帧或消息的结束并且停用位填充的7位域,当为显性时指示填充错误。当在正常操作期间依次出现5位的相同逻辑级时,相对逻辑级的位填充到数据中。7位帧间间距(IFS)包含控制器将正确接收的帧移动到其在消息缓冲区中的适当位置所需的时间。
用于扩展CAN的消息格式类似于标准CAN,具有若干差异。替代远程请求(SRR)位代替RTR位。在标识符扩展(IDE)中的隐性位指示更多标识符位在后面。18位扩展接着IDE。在RTR位和r0位后,附加保留位已包括在DLC位前方。
本文所述实施例适用于标准CAN消息格式和扩展CAN消息格式两者。在CAN中的总线访问为事件驱动型并且无规地进行。如果两个节点尝试同时占据总线120,那么访问用非破坏性逐位仲裁实施。在此情形下,‘非破坏性’涵盖其中节点优胜仲裁仅仅借助消息继续(在消息不被另一个节点毁坏或损坏的情况下)的情形。在一些例子中,消息优先级的分配可包含于标识符中。
现参考图4示出特权节点160的CAN收发器电路的更详细说明。特权节点160包括主收发器电路402、寄生负载电容和负载电阻404,并且经由两条接线220耦合到CAN控制器164。主收发器电路402包括差分接收器408、前置驱动器410和收发器电路输出驱动器级412、414。CANH 416和CANL 418为在CAN总线120上的差分输出信号。CAN收发器使用开漏收发器电路输出驱动器级412、414,其中输出级412中的一个连接到供应电压,并且另一个开漏输出级414接地。CAN控制器164将信号传输到可经操作以驱动开漏收发器电路输出级412、414的前置驱动器410。内部电阻器网络422大体上连接到大致半供应电压以在CAN总线线路、CANH 416和CANL 418上创建差分输出总线信号。
如果CAN控制器164确定其需要在CAN总线上传输显性位,那么其发指令给前置驱动器410以启用开漏输出级412、414两者,使得它们导电,由此产生在CANH 416处的通常4.5V和在CANL 418处的通常1.5V的电压水平。所得差分输出电压构成显性位,并且因此,逻辑低(显性‘0’)。如果CAN控制器164确定其需要在CAN总线上传输隐性位,那么其发指令给前置驱动器410,以停用开漏输出级412、414两者,使得它们变得具有高阻抗,并且因此,仅经由上拉电阻器422将Vcc/2电势应用到输出CANH 416和CANL 418两者,这表示逻辑高(隐性‘1’)。逻辑高相(隐性‘1’)在显相中不是有源地驱动。因此,从显性到隐性的转变时间取决于从逻辑‘0’到逻辑‘1’的系统无源转变(例如回到Vcc/2)。从显相到隐相的无源转变可提高在CAN总线120内的整体转变时间,导致可在CAN高比特率相期间利用的最大数据速率的降低。
根据本发明的一些例子,特权节点的CAN收发器已被适配成包括定位在差分接收器和RXD之间以执行过滤的控制逻辑254,和定位在TXD管脚和前置驱动器410之间的附加控制逻辑256。
根据本发明的例子,特权节点160包括存储器166,其包括ID257的列表,特权节点160被允许传输消息到ID257的列表并且从其接收消息。值得注意地,根据本发明的例子,存储器166和与CAN收发器162的相互作用适于同样包括用于潜在接收节点ID中每一个的其它节点以及特权节点ID168的任何安全规则参数。以此方式,特权节点160被配置为能够更新非加密对策规则的在CAN总线上的仅有节点。有利地,在系统中的剩余节点还被配置成识别和响应于来自由特权节点ID168识别的特权节点160的消息,并且作为响应,更新其一个或多个非加密对策规则的相应应用,例如ID列表。
与所有其它节点存储器相比,特权节点存储器166被配置成包括编程到传输列表中(并且因此以本地方式存储)的特权ID。以类似于其它节点方式,存储器166还被配置成包括在CAN总线120上其它节点的其它批准传输ID和接收ID中的每一个。在一些替代的例子中,可以设想特权节点160的存储器要求可分布在两个(或更多个)不同存储器之间,只要包含特权ID的存储器的部分定位在特权节点160的CAN收发器162中。在此例子中,包含其它节点的ID列表的存储器的部分可包括在CAN收发器162中,但是可同样包括在特权节点160的主机处理器或微控制器(例如CAN控制器164)中。
存储器166由特权节点160(实际上具有在CAN总线120上的其它节点)使用以提供有助于过滤的附加智能水平。以此方式,控制机构的形式在CAN H 416路径和CAN L 418路径之间以及差分接收(RXD)管脚和差分传输(TXD)管脚之间存在,所述控制机构的形式能够确定被传输或接收的ID,并且用定位在存储器166中的ID或ID列表对此进行交叉检验。如果不允许ID被传输或接收,那么特权节点160将分别停止传输或接收。在此方面,特权节点的收发器与在任何其它节点中的任何其它收发器没有不同,除了允许通过此节点而不通过任何其它节点发送特权ID这一事实以外。如上所述,特权节点160进一步包括用于执行更新序列的控制器逻辑,如产生和分布消息列表-1。
现参考图5,例子流程图500示出根据本发明的例子实施例的用于更新CAN标识符列表,并且具体地用于非加密地更新所述列表的方法。首先,在502,在CAN总线上的一个节点被再分配或再编程为特权节点,或者被配置成充当附接到CAN总线的特权节点的节点。在504,包括特权节点的所有节点连接到CAN总线。在506,仅特权节点的收发器被编程有特权ID,使得特权节点为能够发送‘特权ID’的仅有节点。在508,特权ID被编程到所有其它收发器和在CAN总线上的节点中,其中特权ID记录为与更新其标识符列表相关联的CAN标识符。其后,在510,在CAN总线上的其它节点中的标识符中的每一个编程到在特权节点内的微控制器的存储器中。
在512,用于每个节点的所有允许的传输标识符(包含于白名单或黑名单中)和允许的接收标识符(包含于白名单或黑名单中)写入特权节点的存储器中。所允许节点的白名单或黑名单为已知的并且有助于消息过滤,即允许来自在白名单上的节点标识符的消息并且拒绝来自在黑名单上的节点标识符的消息。在514,对于在CAN总线上的其它收发器/节点中的每一个,在一些例子中,特权节点被配置成使用例如CAN消息的序列(如在消息列表-1中描述的序列)编程标识符列表。
在516,车辆进入其常规操作,同时特权节点被配置成监测特权ID是否(或不)已被使用。在一些例子中,可以设想特权节点可被指令以例如使用消息列表-1中描述的CAN消息的序列在商店中以物理方式更新一个或多个节点的标识符列表(例如传输ID和接收ID),或替代地使用远程软件更新来执行。
由于本发明的所示出实施例可在很大程度上使用本领域的技术人员熟知的电子组件和电路来实施,因此不以比如上文所示的视为必需的程度任意更大的程度解释细节,以便理解和了解本发明的根本概念且不模糊或分散本发明的教导内容。
在一些例子中,本文描述的电路可使用分立组件和电路实施,而在其它例子中,电路可在集成电路(如图1的集成电路161)中以集成形式形成,在一些例子中该集成电路包含特权节点的电路和组件。因为本发明的所示出实施例可在很大程度上使用本领域的技术人员所熟知的电子组件和电路来实施,因此,将不再以比下文所示出的认为必要的程度更大的程度解释细节,以便理解了解本发明的根本概念且避免混淆或无法专心于本发明的教导内容。
技术人员应了解,处理器电路或组件的集成水平在一些情况下可依赖于实施方案。此外,可在特权节点中使用单一处理器或MCU来执行用于更新控制器局域网(CAN)安全规则,并且具体地用于非加密地更新CAN标识符列表的方法。显而易见,在特权节点160内的各种组件可实现成离散或集成组件形式,并且因此最终结构为专用或设计选择的。
在前述说明书中,已参考本发明的实施例的具体例子描述了本发明。然而,显而易见的是,可在不脱离如所附权利要求书中所阐述的本发明的范围的情况下对特定例子作出各种修改和改变,且权利要求书并不限于上文所描述的特定例子。
如本文所论述的连接可为适合于(例如)经由中间装置从相应的节点、单元或装置传送信号或将信号传送到相应的节点、单元或装置的任何类型的连接。因此,除非另外暗示或陈述,否则连接可为例如直接连接或间接连接。连接可示出或描述为单一连接、多重连接、单向连接或双向连接。然而,不同的实施例可变化连接的实施方案。举例来说,可使用独立单向连接而不非双向连接,且反之亦然。另外,多重连接可换为串行或以时分复用的方式传送多种信号的单一连接。同样,携载多个信号的单一连接可被分成携载这些信号的子集的各种不同连接。因此,存在用于传送信号的许多选择方案。本领域的技术人员应认识到,本文中所描绘的架构仅为示例性的,并且实际上可实施实现相同功能性的许多其它架构。
因此,实现相同功能性的组件的任何布置都可有效地‘相关联’,使得实现期望功能性。因此,本文中经组合以实现特定功能性的任何两个组件都可以被视为彼此‘相关联’,使得实现期望功能性,而不管架构或中间组件如何。同样地,如此相关联的任何两个组件还可以被视为彼此“可操作地连接”或“可操作地耦合”来实现期望功能性。
此外,本领域的技术人员应认识到,上述操作之间的界限仅仅是说明性的。多个操作可组合成单一操作,单一操作可分散于附加操作中,并且操作的执行可在时间上至少部分地重合。此外,替代性实施例可包括特定操作的多个例子,并且操作的次序可在各种其它实施例中更改。
并且,举例来说,在一个实施例中,所示出例子可实施为位于单一集成电路上或相同装置内的电路。举例来说,CAN收发器162和/或特权节点的主机处理器或微控制器(例如CAN控制器164)可被实施为定位在单一集成电路上的电路。可替换的是,电路和/或组件例子可实施为以合适方式彼此互连的任何数目的独立集成电路或独立装置。并且,举例来说,例子或其部分可实施为如在任何适当类型的硬件描述语言中的物理电路系统的软件或代码,或者可转化成物理电路系统的逻辑表示的软件或代码表示。
另外,本发明不仅仅限于车辆,而是可用于通过根据合适程序代码操作而能够在总线型网络上传输或接收消息的任何装置或电子单元或节点,如微型计算机、个人计算机、平板计算机、嵌入系统、蜂窝电话和各种其它无线装置(通常在本申请中表示为‘计算机系统’)。可以设想本发明概念可与任何总线一起采用,并且不限于与CAN总线一起使用。然而,其它修改、变化和替代方案也是可能的。因此,说明书和附图应被视为具有说明性意义而非限制性意义。
在权利要求书中,放置在圆括号之间的任何附图标记不应被解释为限制该权利要求。词语‘包括’不排除除了权利要求中所列的那些元件或步骤之外的其它元件或步骤的存在。此外,如本文中所用,术语‘一(a/an)’被限定为一个或多于一个。另外,权利要求书中使用介绍性短语如‘至少一个’和‘一个或多个’不应被解释为暗示由不定冠词‘一(a/an)’引入的另一权利要求要素将包含这类所引入权利要求要素的任何特定权利要求限制到仅包含一个这类要素的发明,即使是在相同权利要求包括介绍性短语‘一个或多个’或‘至少一个’和不定冠词如‘一(a/an)’时也如此。定冠词的使用也是如此。除非另有陈述,否则术语如‘第一’和‘第二’用于任意地区别这类术语所描述的元件。因此,这些术语未必意图指示这类元件的时间上优先级或其它优先级。在彼此不同的权利要求中叙述某些措施这一单纯事实并不指示不能使用这些措施的组合来获得优势。
Claims (10)
1.一种用于更新在具有CAN总线(120)和主机处理器的控制器区域网(CAN)中的至少一个安全规则的第一节点(160),其特征在于,所述第一节点(160)包括:
被配置成在所述CAN总线(120)上传输和接收消息的收发器(162);
可操作地耦合到所述收发器(162)并且被配置成确定借助接收的消息包含的标识符(ID)的控制器(164);和
可操作地耦合到所述控制器(164)并且被配置成包含以下中的至少一个的存储器(166):ID的列表,所述第一节点(160)被允许传输消息到的且/或从中接收消息的至少一个第二节点(150)的至少一个安全规则参数;
其中所述第一节点(160)特征在于所述存储器(166)包括被配置成识别所述第一节点(160)并且仅与所述第一节点(160)相关联的特权节点ID(168),并且所述控制器(164)被配置成产生至少一个安全规则更新消息并且将其发送到在所述CAN中的所述至少一个第二节点(150),所述安全规则更新消息更新由在所述CAN中的所述至少一个第二节点(150)采用的至少一个安全规则。
2.根据权利要求1所述的第一节点(160),其特征在于,所述至少一个安全规则更新消息包括CAN总线标识符列表的非加密更新。
3.根据权利要求1或2所述的第一节点(160),其特征在于,所述至少一个安全规则更新消息包括以下中的至少一个的非加密更新:每个节点被允许传输消息的消息速率、应用到每个节点被允许发送的数据分组的数据大小的限制、总线帧的物理属性或时序。
4.根据在前的任一项权利要求所述的第一节点(160),其特征在于,响应于所述收发器(162)在所述CAN总线(120)上接收消息和所述控制器(164)确定所述接收的消息包括所述特权节点ID(168),所述控制器(164)进一步被配置成通过在所述消息结束之前在所述CAN总线上发布错误消息来切断在所述CAN总线(120)上的所述接收的消息,其中在所述CAN总线(120)上发布的所述错误消息识别恶意节点的存在。
5.根据在前的任一项权利要求所述的第一节点(160),其特征在于,由所述第一节点(160)通过所述CAN总线(120)发送的所述消息包括所述特权节点ID(168)、消息的既定接收者的标识符、至少一个控制位和数据有效载荷,其中所述数据有效载荷被配置成识别安全规则更新消息类型。
6.根据权利要求5所述的第一节点(160),其特征在于,所述数据有效载荷的字节的第一数字被配置为所述既定接收者节点(150)的ID。
7.根据权利要求5所述的第一节点(160),其特征在于,所述数据有效载荷进一步包括识别所述安全规则更新消息的更新序列的开始位置和停止位置的参数,所述开始位置和停止位置之间散布有将所述消息识别为用于所述识别的第二节点的过滤规则更新消息的所述既定接收者节点(150)的所述ID。
8.一种车辆,其特征在于,包括根据在前的任一项权利要求所述的第一节点(160)。
9.一种用于第一节点(160)的集成电路(161),所述第一节点(160)用于更新在具有CAN总线(120)和主机处理器的控制器区域网(CAN)中的至少一个安全规则,其特征在于,所述集成电路包括:
可操作地耦合到收发器(162)并且被配置成确定包含于在所述CAN总线(120)上接收的消息中的标识符(ID)的控制器(164);和
可操作地耦合到所述控制器(164)并且被配置成包含以下中的至少一个的存储器(166):ID的列表,所述第一节点(160)被允许传输消息到的且/或从中接收消息的至少一个第二节点(150)的至少一个安全规则参数;
其中所述集成电路特征在于所述存储器(166)包括被配置成识别所述第一节点(160)并且仅与所述第一节点(160)相关联的特权节点ID(168),并且所述控制器(164)被配置成产生至少一个安全规则更新消息并且将其发送到在所述CAN中的所述至少一个第二节点(150),所述安全规则更新消息更新由在所述CAN中的所述至少一个第二节点(150)采用的至少一个安全规则。
10.一种用于更新在具有CAN总线(120)和主机处理器的控制器区域网(CAN)中的至少一个安全规则的方法,其特征在于,所述方法包括,在第一节点(160)处:
在存储器(166)中存储在所述CAN中的至少一个第二节点的标识符(ID)的列表,所述第一节点被允许将消息传输到所述第二节点且/或从所述第二节点接收消息;和
在所述CAN总线(120)上传输和接收消息;
其中所述方法特征在于:
在存储器(166)中存储被配置成识别所述第一节点(160)并且仅与所述第一节点(160)相关联的特权节点ID(168);和
产生待发送到在所述CAN中的所述至少一个第二节点(150)的至少一个CAN安全规则更新消息,其更新由在所述CAN中的所述至少一个第二节点(150)采用的至少一个安全规则。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17182764.5A EP3435617B1 (en) | 2017-07-24 | 2017-07-24 | A node, a vehicle, an integrated circuit and method for updating at least one rule in a controller area network |
| EP17182764.5 | 2017-07-24 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109299029A true CN109299029A (zh) | 2019-02-01 |
| CN109299029B CN109299029B (zh) | 2023-11-03 |
Family
ID=59399276
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810823434.XA Active CN109299029B (zh) | 2017-07-24 | 2018-07-24 | 用于更新至少一个规则的节点、车辆、集成电路和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11256498B2 (zh) |
| EP (1) | EP3435617B1 (zh) |
| CN (1) | CN109299029B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111711550A (zh) * | 2020-05-22 | 2020-09-25 | 南昌大学 | 一种车载can网络消息的共享id序列方法 |
| CN111835550A (zh) * | 2019-04-16 | 2020-10-27 | 恩智浦有限公司 | 网络节点 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7269955B2 (ja) * | 2018-11-30 | 2023-05-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両ログ送信装置、車両ログ解析サーバおよび車両ログ解析システム |
| GB2583476B (en) * | 2019-04-29 | 2021-05-26 | Canis Automotive Labs Ltd | CAN security invention |
| KR20220042408A (ko) * | 2019-07-25 | 2022-04-05 | 바텔리 메모리얼 인스티튜트 | Can 버스 보호 시스템 및 방법 |
| GB2592967A (en) * | 2020-03-12 | 2021-09-15 | Warwick Control Tech Ltd | A method for monitoring a network |
| US20210406138A1 (en) * | 2020-06-26 | 2021-12-30 | Nxp B.V. | Can transceiver |
| DE102021200081A1 (de) * | 2021-01-07 | 2022-07-07 | Robert Bosch Gesellschaft mit beschränkter Haftung | Kommunikationssteuereinrichtung für eine Teilnehmerstation für ein serielles Bussystem und Verfahren zur Kommunikation in einem seriellen Bussystem |
| CN112910749B (zh) * | 2021-01-18 | 2022-02-01 | 国汽智控(北京)科技有限公司 | 一种can通道连接设备识别方法及数据传输方法、系统 |
| WO2022251388A2 (en) * | 2021-05-27 | 2022-12-01 | Fort Robotics, Inc. | Ensuring functional safety requirement satisfaction using fault-detectable microcontroller identifiers |
| CN113587392B (zh) * | 2021-08-05 | 2022-06-28 | 青岛海信日立空调系统有限公司 | 中央空调控制系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130022688A (ko) * | 2011-08-26 | 2013-03-07 | 주식회사 현대케피코 | 차량 내 전자 제어 유닛 소프트웨어 갱신 장치 |
| US20160371077A1 (en) * | 2015-06-16 | 2016-12-22 | Lear Corporation | Method for wireless remote updating vehicle software |
| EP3133774A1 (en) * | 2014-04-17 | 2017-02-22 | Panasonic Intellectual Property Corporation of America | Vehicle-mounted network system, abnormality detection electronic control unit and abnormality detection method |
| US20170192770A1 (en) * | 2015-09-14 | 2017-07-06 | Panasonic Intellectual Property Corporation Of America | Gateway device, in-vehicle network system, and firmware update method |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8863256B1 (en) * | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| US11165851B2 (en) * | 2015-06-29 | 2021-11-02 | Argus Cyber Security Ltd. | System and method for providing security to a communication network |
| US11397801B2 (en) * | 2015-09-25 | 2022-07-26 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
| US10361934B2 (en) | 2015-09-28 | 2019-07-23 | Nxp B.V. | Controller area network (CAN) device and method for controlling CAN traffic |
| US20170235698A1 (en) | 2016-02-12 | 2017-08-17 | Nxp B.V. | Controller area network (can) message filtering |
| JP6609199B2 (ja) * | 2016-03-01 | 2019-11-20 | ルネサスエレクトロニクス株式会社 | 組込み機器 |
-
2017
- 2017-07-24 EP EP17182764.5A patent/EP3435617B1/en active Active
-
2018
- 2018-06-21 US US16/014,916 patent/US11256498B2/en active Active
- 2018-07-24 CN CN201810823434.XA patent/CN109299029B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130022688A (ko) * | 2011-08-26 | 2013-03-07 | 주식회사 현대케피코 | 차량 내 전자 제어 유닛 소프트웨어 갱신 장치 |
| EP3133774A1 (en) * | 2014-04-17 | 2017-02-22 | Panasonic Intellectual Property Corporation of America | Vehicle-mounted network system, abnormality detection electronic control unit and abnormality detection method |
| US20160371077A1 (en) * | 2015-06-16 | 2016-12-22 | Lear Corporation | Method for wireless remote updating vehicle software |
| US20170192770A1 (en) * | 2015-09-14 | 2017-07-06 | Panasonic Intellectual Property Corporation Of America | Gateway device, in-vehicle network system, and firmware update method |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835550A (zh) * | 2019-04-16 | 2020-10-27 | 恩智浦有限公司 | 网络节点 |
| CN111835550B (zh) * | 2019-04-16 | 2024-01-09 | 恩智浦有限公司 | 网络节点 |
| CN111711550A (zh) * | 2020-05-22 | 2020-09-25 | 南昌大学 | 一种车载can网络消息的共享id序列方法 |
| CN111711550B (zh) * | 2020-05-22 | 2021-08-20 | 南昌大学 | 一种车载can网络消息的共享id序列方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3435617B1 (en) | 2021-05-26 |
| CN109299029B (zh) | 2023-11-03 |
| EP3435617A1 (en) | 2019-01-30 |
| US20190026103A1 (en) | 2019-01-24 |
| US11256498B2 (en) | 2022-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109299029A (zh) | 用于更新至少一个规则的节点、车辆、集成电路和方法 | |
| JP7170780B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| JP7008100B2 (ja) | 不正対処方法、不正検知電子制御ユニットおよびネットワーク通信システム | |
| ES2805290T3 (es) | Dispositivo para proteger un sistema electrónico de un vehículo | |
| JP6407981B2 (ja) | 車載ネットワークシステム、電子制御ユニット及び不正対処方法 | |
| US8925083B2 (en) | Cyber security in an automotive network | |
| KR102243114B1 (ko) | 차량 네트워크에서 id 익명화를 사용한 실시간 프레임 인증 | |
| CN107026840A (zh) | 安全车辆网络架构 | |
| CN109428716A (zh) | 车内组的密钥分配 | |
| CN107817779B (zh) | 基于以太网交换机的信息验证未注册的装置的系统及方法 | |
| CN108400919A (zh) | 用于在控制器区域网络中发射消息的系统和方法 | |
| EP3565212B1 (en) | Method for providing an authenticated update in a distributed network | |
| EP2043324A1 (en) | Programmable data protection device, secure programming manager system and process for controlling access to an interconnect network for an integrated circuit. | |
| JP7412506B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| CN109905488A (zh) | 商用车电子电器架构及其安全通讯方法 | |
| Hartzell et al. | Security analysis of an automobile controller area network bus | |
| US11934338B2 (en) | Enhanced secure onboard communication for CAN | |
| KR20180072340A (ko) | 운송 수단 내부 네트워크에서의 제어 데이터를 보안 전송하는 방법 | |
| GB2548371A (en) | Firewall for securing access to vehicle networks | |
| EP4068722A1 (en) | Enhanced secure onboard communication for can | |
| KR102472413B1 (ko) | 차랑 내 통신 네트워크 보안방법 | |
| JP7199467B2 (ja) | 不正対処方法、および電子制御ユニット | |
| Bertschy | Vehicle computer and network security: Vulnerabilities and recommendations | |
| Kumar et al. | Cybersecurity Vulnerabilities for Off-Board Commercial Vehicle Diagnostics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |