CN110794725B - 安全车辆控制单元 - Google Patents
安全车辆控制单元 Download PDFInfo
- Publication number
- CN110794725B CN110794725B CN201910707060.XA CN201910707060A CN110794725B CN 110794725 B CN110794725 B CN 110794725B CN 201910707060 A CN201910707060 A CN 201910707060A CN 110794725 B CN110794725 B CN 110794725B
- Authority
- CN
- China
- Prior art keywords
- unit
- vehicle control
- control unit
- controller unit
- housing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/01—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
- B60R25/04—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor
- B60R25/045—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor by limiting or cutting the electrical supply to the propulsion unit
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/30—Detection related to theft or to other events relevant to anti-theft systems
- B60R25/34—Detection related to theft or to other events relevant to anti-theft systems of conditions of vehicle components, e.g. of windows, door locks or gear selectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H05—ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
- H05K—PRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
- H05K5/00—Casings, cabinets or drawers for electric apparatus
- H05K5/02—Details
- H05K5/0208—Interlock mechanisms; Means for avoiding unauthorised use or function, e.g. tamperproof
-
- H—ELECTRICITY
- H05—ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
- H05K—PRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
- H05K5/00—Casings, cabinets or drawers for electric apparatus
- H05K5/06—Hermetically-sealed casings
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25257—Microcontroller
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
-
- H—ELECTRICITY
- H05—ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
- H05K—PRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
- H05K2201/00—Indexing scheme relating to printed circuits covered by H05K1/00
- H05K2201/10—Details of components or other objects attached to or integrated in a printed circuit board
- H05K2201/10007—Types of components
- H05K2201/10151—Sensor
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioethics (AREA)
- Lock And Its Accessories (AREA)
- Casings For Electric Apparatus (AREA)
Abstract
本发明涉及一种安全车辆控制单元,其包括:微控制器单元;密封控制器单元,其包括用于存储有效性状态的存储器装置;电连接器,其被配置为将微控制器单元联接到密封控制器单元;以及壳体,其包围微控制器单元、密封控制器单元和电连接器。微控制器单元被配置为经由电连接器确定密封控制器单元的有效性状态,密封控制器单元被配置为检测对壳体的机械改变并且当检测到这种机械改变时改变有效性状态。
Description
技术领域
本发明涉及车辆控制单元,尤其涉及自主驾驶控制单元,其包括包围车辆控制单元组件的壳体。
背景技术
如图1所示,已知使用车辆控制单元壳体110来为发动机控制单元100提供机械、电气和可能的密封保护。传统上,提供这种保护以使得能够实现装置在不同环境、天气和操作条件下的安全操作。
壳体110可包括盖120,该盖120被拧紧、模制和/或密封以形成保护壳,特别是屏蔽或以其它方式保护车辆控制单元100免受可能潜在地损坏和/或损害发动机控制单元的功能的危险事件或状况。
因此,通常提供这种保护以防止危险事件(例如防止恶劣天气条件、困难的操作条件、车辆碰撞或道路交通事故)由于车辆控制单元100故障而危及汽车安全性和车辆可操作性。
然而,车辆控制单元壳体110通常不提供针对旨在机械地打开或以其它方式获得对车辆控制单元壳体110的内部组件140的访问权的故意攻击的保护。
攻击可旨在获得对车辆控制单元100的恶意控制,例如改变车辆控制单元100的设置和/或影响车辆控制单元100的功能。
这种恶意攻击可能对车辆乘客和其他交通参与者构成严重威胁,并且如果影响在公共街道上自由驾驶(即,没有人为交互)的自主驾驶车辆,则可能特别成问题。
为了防止这种破坏,汽车制造商可以考虑安全措施,例如添加机械保护150(如密封件或胶带),在破坏时该机械保护将会破裂,因此可以在汽车修理厂中或由法律机构在对车辆进行目视检查时被检测到。
不幸的是,这种安全措施不太可能有效,因为可能需要一段时间才能完成车辆的目视检查。此外,实现密封件或将胶带150添加到壳体110无法使内部组件140和在车辆控制单元100中运行的软件知道任何破坏企图。此外,如果机械保护150(例如机械密封件150)被等效的机械保护替换,则恶意攻击可能会被目视检查所忽视。
另选地,车辆控制单元可以被设计成验证壳体是否已被打开,例如通过实现在壳体的盖被移除时触发信号的电传感器。然而,只有在发动机控制单元有电的情况下才能进行这种验证。换句话说,如果打开在断电时发生,则可能不被注意到,特别是如果在给装置通电之前更换了被操纵的发动机控制单元并且关闭壳体。
发明内容
鉴于上述情况,本发明的目的是改进车辆控制单元的保护。
根据本发明,车辆控制单元包括:
-微控制器单元;
-密封控制器单元,其包括用于存储有效性状态的存储器装置;
-电连接器,其将微控制器单元联接到密封控制器单元;以及
-壳体,其包围微控制器单元、密封控制器单元和电连接器。
微控制器单元被配置为经由电连接器确定密封控制器单元的有效性状态,密封控制器单元被配置为检测对壳体的机械改变并且当检测到这种机械改变时改变有效性状态。
更具体地,壳体包围微控制器单元、密封控制器单元和电连接器,因此保护车辆控制单元的组件。
此外,密封控制器单元被配置为:如果壳体发生机械变化则改变该密封控制器单元的有效性状态。
例如施加到壳体的机械力可以引起对壳体的机械改变,例如当施加机械力以打开或以其它方式暴露壳体的内部(例如通过移除壳体的盖或通过在壳体表面切开开口)时。
换句话说,密封控制器单元被适配为检测对壳体的这种机械改变或者受到对壳体的这种机械改变的影响,并且如果发生了这种机械改变则改变该密封控制器单元的有效性状态。
为此目的,密封控制器单元包括用于存储有效性状态的存储器装置。优选地,存储器装置可以包括存储器芯片,例如只读存储器(ROM)芯片,进一步优选地,一次性可编程ROM芯片。
在示例中,有效性状态可以对应于存储在存储器芯片中的变量或存储器位,并且其指示是否已经发生了对壳体的机械改变。
在相关示例中,存储器芯片对应于已被编程为存储数字密钥(例如每个车辆控制单元唯一的数字密钥)的一次性可编程ROM芯片。在这种情况下,如果数字密钥的内容改变,或者如果由于对存储器芯片造成的破坏而无法再访问数字密钥,则密封控制器单元的有效性状态已经改变,表明对壳体的机械改变。
微控制器单元被配置为利用电连接器来确定密封控制器单元的有效性状态。
因此,微控制器单元被配置为利用电连接器来读取所述数字密钥,或者检查密封控制器单元的存储器装置的存储器内容和/或完整性。然后,如果微控制器单元确定数字密钥不能被认证(即,无效或不可访问),则该微控制器单元可以推断出壳体发生了机械变化,例如壳体可能已经被破坏。
换句话说,微控制器单元可以被配置为通过验证存储在密封控制器单元的存储器装置中的数字密钥来确定密封控制器单元的有效性状态。为此目的,优选地,微控制器单元被配置为利用加密/解密算法来验证存储在密封控制器单元的存储器装置中的数字密钥,例如通过运行基于高级加密标准(AES)的加密算法来通过与存储在微控制器单元中的对应的数字密钥进行比较执行认证检查。
在示例中,密封控制器单元的存储器装置包括适配为存储密封控制器单元的所述数字密钥的一次性可编程只读存储器(ROM)。例如,微控制器可以包括硬件安全模型(HSM),该HSM可以用于生成随机生成的数字密钥,该随机生成的数字密钥随后被存储在密封控制器单元的一次性可编程只读存储器(ROM)中。
在示例中,车辆控制单元被配置为向车辆或汽车发动机提供控制器功能,并且当微控制器单元确定数字密钥无效(即,表明壳体可能已经被破坏)时,车辆控制单元可以将自身关闭(例如永久关闭),或将自身配置为减少提供的控制器功能的范围。以这种方式,例如通过将控制器功能限制到仍然允许车辆的安全操作的最小值,显著降低了恶意操纵车辆控制单元的功能的可能性。
因此,车辆控制单元组件的上述布置提供了安全密封机构,该安全密封机构使得车辆控制单元能够在任何时间验证其壳体是否已经被破坏。例如,微控制器单元可以在启动时和/或在车辆控制单元的运行期间偶尔或周期性地轮询密封控制器的有效性状态。
由此得出,车辆控制单元的微控制器单元设置有到密封控制器单元的可信链路,这使得能够实现例如安全启动和在运行期间的软件认证,因此使得车辆控制单元能够在检测到对其壳体的恶意攻击时采取保护动作。
如上所述,电连接器被配置为将微控制器单元联接到密封控制器单元。因此,电连接器提供将微控制器单元联接到密封控制器单元的通信信道,其中,该通信信道使得微控制器单元能够验证密封控制器的有效性状态,参见上面的讨论。
优选地,通信信道是有线通信链路,进一步增强了操作微控制器单元与密封控制器单元之间的可信链路的安全性。例如,通信信道可以对应于串行外围接口(SPI)、通用异步接收器-发送器(UART)或者集成电路间(I2C)通信链路。
在示例中,车辆控制单元包括适配为机械地联接密封控制器单元和壳体的机械联接元件。以这种方式,施加到壳体的机械力可以通过机械联接元件传递到密封控制器单元,例如机械地冲击密封控制器单元的表面。
在示例中,机械联接元件包括细长的机械连接元件,例如布置在壳体内部的杆或柱状机械组件。
在这种情况下,细长的机械联接元件的第一端被布置成接触壳体的内表面,并且可被粘附或以其它方式固定到壳体的内表面,以改善该布置的机械接触和对应的力检测灵敏度。在示例中,机械元件的第二端可以被粘附或以其它方式固定到密封控制器单元的表面。
另选地,机械联接元件可以包括切割元件,例如固定到细长的机械联接元件的第二端的切割元件。
因此,机械联接元件可以包括这样的切割元件:其被适配为在所述机械力施加到壳体时刮擦、切割密封控制器单元的表面或向密封控制器单元的表面施加压力,或以其它方式机械地冲击密封控制器单元的表面。
在示例中,密封控制器单元的表面包括保护膜,该保护膜被适配为在接收到机械联接元件的所述机械冲击时破裂。例如,保护膜可以被适配为:当该保护膜破裂时,优选地通过改变存储在所述存储器装置中的有效性状态来影响密封控制器单元的电特性。
优选地,保护膜可以对应于施加到密封控制器单元的表面的导电网。保护膜可以具有带有电连通性的预定义图案,其限定存储在所述存储器装置中的有效性状态,其中,当所述保护膜破裂发生时,导电图案被破坏和/或损坏,从而改变有效性状态。
在示例中,密封控制器单元包括填充有液体物质的液体腔室。该液体腔室被适配为:当机械联接元件对密封控制器单元的表面造成机械冲击时,使液体物质溢出到密封控制器内。以这种方式,对密封控制器单元的表面的机械冲击可以影响该密封控制器单元的电特性,例如通过损坏存储器装置的内容完整性来改变存储在所述存储器装置中的有效性状态。例如,对壳体的机械改变可以通过物理地损坏一次性可编程只读存储器(ROM)芯片的内容完整性来改变密封控制器单元的有效性状态。
优选地,为了增强此技术效果,液体物质是化学物质,进一步优选为酸或导电流体,例如导电油墨。
在另一示例中,车辆控制单元包括附接到壳体的传感器单元。该传感器单元被适配为检测对壳体的机械改变,例如检测将盖与壳体分离或者在壳体表面切开开口的企图。这种传感器单元可以例如包括:电阻传感器、电感传感器、电容传感器、压电传感器、电磁传感器或光电传感器。
在任何情况下,传感器单元电联接到密封控制器单元。因此,传感器单元被配置为将对壳体的机械改变转换为电信号,然后该电信号经由电联接被传送到密封控制器单元。
以这种方式,由密封控制器单元接收到的电信号可以用于改变该密封控制器单元的有效性状态,以指示壳体已发生机械变化,例如以指示壳体可能已被破坏。
优选地,由密封控制器单元接收到的电信号可以用于通过过电压来物理地损坏存储器装置(例如一次性可编程只读存储器(ROM))的内容完整性。
例如,如果传感器单元是压电元件,则该传感器单元将对壳体的机械改变转换为电信号,该电信号经由电联接被传递到密封控制器单元,并且可以用于通过过电压物理地损坏存储器装置的内容完整性。
以这种方式,提供了针对恶意攻击的非常坚固且可靠的保护,其即使在车辆控制单元断电时也能够进行保护,因为相应的电信号是利用压电效应产生的。
附图说明
在以下对附图的描述中描述了本发明的进一步的实施方式。下面将借助于实施方式并参照附图来说明本发明,在附图中:
图1示出了用密封件保护的车辆控制单元,
图2示出了带有机械联接元件的车辆控制单元,
图3示出了包括切割构件的车辆控制单元,
图4示出了包括液体腔室的车辆控制单元,以及
图5示出了包括压电元件的车辆控制单元。
附图标记列表
100,200,300,400,500 车辆控制单元
110,210,310,410,510 壳体
120,220,320,420,520 盖
130,230,330,430,530 基板
140 车辆控制单元的内部组件
240,340,440,540 微控制器单元
250,350,450,550 密封控制器单元
260,360,460,560 电连接器
270,370,470 细长的机械联接元件
570 传感器单元
280,480 粘合剂层
380 切割元件
580 电联接装置
290,390 保护膜
490 液体腔室
590 一次性可编程只读存储器
具体实施方式
在下文中,考虑到组件的方向而做出的任何叙述都是相对于图中所示的位置进行的,并且在实际应用位置上可以自然地变化。
图2示出了根据本发明的车辆控制单元200,其中车辆控制单元200包括布置在基板230上的微控制器单元240和密封控制器单元250。
电连接器260被配置为将微控制器单元240联接到密封控制器单元250。电连接器260提供将微控制器单元240联接到密封控制器单元250的通信信道,以使得微控制器单元240能够验证密封控制器单元250的有效性状态。
在该示例中,密封控制器单元250包括用于存储有效性状态的存储器芯片作为存储器装置。有效性状态对应于存储在存储器芯片中的存储器位,并指示壳体210是否发生了机械变化。
更具体地,车辆控制单元200包括壳体210,该壳体210包围微控制器单元240、密封控制器单元250和电连接器260,以便保护车辆控制单元200的组件。
在该示例中,壳体210包括盖220,盖220通过螺纹元件密封以形成包括车辆控制单元200的组件的封闭且受保护的腔。
因此,密封控制器单元250被配置为如果壳体210发生了机械变化则改变该密封控制器单元250的有效性状态,并且微控制器单元240被适配为利用电连接器260来验证密封控制器单元250的有效性状态。
由此得出,微控制器单元240可以确定是否已经施加了机械力来打开或以其它方式暴露壳体210的内部,例如移除壳体210的盖220或者在壳体210的表面切开开口。
车辆控制单元200被配置为向车辆或汽车发动机提供控制器功能,并且其微控制器单元240被适配为运行能够实现这种服务的软件。因此,当微控制器单元240确定壳体210可能已经被破坏时,车辆控制单元200可以通过改变控制器行为和/或通过限制对存储在车辆控制单元200中的敏感信息(特别是可能被恶意破坏的敏感信息)的访问来作出反应。
例如,车辆控制单元可以通过例如永久地将自身关闭、或者通过对自身进行配置来减小所提供的控制器功能的范围来作出反应。以这种方式,例如通过将控制器功能限制为仅包括车辆安全操作所需的最基本功能,显著降低了恶意操纵车辆控制单元200的功能的可能性。
在该示例中,密封控制器单元250的存储器装置包括一次性可编程只读存储器(ROM),该ROM被适配为存储对应于所存储的有效性状态的数字密钥。
微控制器单元240包括硬件安全模型(HSM),该HSM已被制造商(或者在激活数字密钥的对应的汽车修理厂处)用来生成随机生成的数字密钥,该随机生成的数字密钥存储在密封控制器单元250的一次性可编程只读存储器(ROM)中。
如果数字密钥的内容改变、或者如果由于对存储器芯片造成的损坏而无法再访问数字密钥,则认为密封控制器单元250的有效性状态已经改变,表明对壳体210的机械改变。
如上所述,微控制器单元240被配置为利用电连接器260来读取密封控制器单元250的数字密钥。然后,如果微控制器单元240确定数字密钥不能被认证(即,数字密钥不对应于期望值、无效或不可访问),则该微控制器单元240断定壳体210已经发生机械变化,表明壳体210可能已经被破坏。
微控制器单元240被配置为利用加密/解密算法来验证存储在密封控制器单元250的存储器装置中的数字密钥是否有效。为此目的,微控制器单元240运行基于高级加密标准(AES)的加密算法来执行认证检查,其中,将存储在密封控制器单元250的存储器装置中的数字密钥与存储在微控制器单元240中的对应的数字密钥进行比较。
由此得出,车辆控制单元的微控制器单元设置有到密封控制器单元的可信链路,其使得能够实现例如安全启动和在运行期间的软件认证,因此使得当检测到对车辆控制单元的壳体的恶意攻击时,该车辆控制单元能够采取保护动作。
在该示例中,微控制器单元240使用上述布置来在启动时轮询密封控制器单元250的有效性状态,并且还在车辆控制单元200的运行期间周期性地轮询。这样,微控制器单元240可以对对壳体的恶意攻击(在打开车辆控制单元200之前可能已经进行过该攻击,或者在装置操作期间进行了该攻击)做出反应。
在图2中,由电连接器260提供的通信信道是有线通信链路。以这种方式,恶意监听或影响微控制器单元240与密封控制器单元250之间的可信链路更加困难,进一步增强了操作的安全性。
如图2所示,车辆控制单元200包括机械联接元件270,该机械联接元件270机械地联接密封控制器单元250和壳体的盖220。在此示例中,机械联接元件270是具有第一端和第二端的细长连接元件,其类似于布置在壳体210内的杆或柱状机械组件。
细长的机械联接元件270的第一端被粘附成以固定方式接触盖220的内表面。以这种方式,在细长的机械联接元件270与盖220之间提供了坚固且可靠的机械接触,进一步提高了该布置的力检测灵敏度。
类似地,细长的机械联接元件270的第二端粘附到密封控制器单元250的表面。为此目的,在相应的组件之间布置粘合剂层280。
由此得出,施加到壳体210的机械力被细长的机械联接元件270传递,从而机械地冲击密封控制器单元250的表面。例如,被施加以移除壳体的盖220的拉力因此被机械地联动,从而导致对应的拉力被施加到密封控制器单元250的表面。
在该示例中,密封控制器单元250的、机械联接到细长的机械联接元件270的表面包括保护膜290。
更具体地,保护膜290包括施加到密封控制器单元250的表面的导电网。该导电网被适配为具有带有电连通性的预定义图案,使得预定义的电连通性限定了存储在所述存储器装置中的有效性状态。
因此,被施加以移除壳体的盖220的机械力通过细长的机械联接元件270机械地联动,从而导致对应的机械力被施加到保护膜290。
结果是,保护膜290破裂,并且机械联接元件的机械冲击损坏或破坏保护膜290的导电网,以致改变该导电网的电连通性。
因此,当保护膜290破裂时,其电连通性的变化影响密封控制器单元250的电特性,从而改变存储在所述存储器装置中的有效性状态。
例如,保护膜290及其对应的导电网可用于形成用于存储密封控制器单元250的数字密钥的ROM芯片。然后,在接收到施加到壳体210的表面的传递的机械力时,导电网被损坏或破坏,这损坏或破坏了存储在密封控制器单元250中的数字密钥。
结果是,当微控制器单元240轮询密封控制器单元250的有效性状态时,该微控制器单元240检测到对壳体210的可能的恶意攻击,并相应地作出反应,参见上面的讨论。
图3示出了车辆控制单元300的相关示例,该车辆控制单元300具有壳体310、基板330、微控制器单元340、在表面处具有保护膜390的密封控制器单元350、电连接器360以及细长的机械联接元件370,如上面结合图2的实施方式所讨论的。
然而,在图3中,不是将细长的机械联接元件370的第二端固定到密封控制器单元350的表面,而是将细长的机械联接元件370的第二端形成为包括切割元件380,或者将对应的切割元件380固定到细长的机械联接元件370的第二端。
更具体地,切割元件380被配置为:当所述机械力施加到壳体310时,刮擦、切割密封控制器单元350的表面或向密封控制器单元350的表面施加压力,或者以其它方式机械地冲击密封控制器单元350的表面处的保护膜390。
例如,如图3所示,盖320的横向移动会损坏或破坏保护膜390的导电网,从而改变或损坏存储在密封控制器单元250中的数字密钥。
然而,振动或其它不太相关的机械效应不太可能影响保护膜390,因为切割元件380在正常操作条件下不会抵靠保护膜390的表面。
图4示出了车辆控制单元400的相关示例,该车辆控制单元400具有壳体410、基板430、微控制器单元440、密封控制器单元450、电连接器460和细长的机械联接元件470,如以上结合图2的实施方式所讨论的。
然而,在图4的示例中,密封控制器单元450在其表面处包括填充有液体物质的液体腔室490。液体腔室490被适配为:当机械联接元件470对密封控制器单元450的表面造成机械冲击时,使液体物质溢出到密封控制器单元450内。
以这种方式,相应的机械冲击导致液体物质溢出,然后该液体物质被引导到密封控制器单元450内,从而改变该密封控制器单元450的电特性,例如通过使密封控制器单元450的内部导体短路。为此目的,图4中使用的液体物质包括导电油墨。
因此,对壳体410的相应机械冲击改变了存储在密封控制器单元450的存储器装置中的有效性状态,从而指示对车辆控制单元400的可能的恶意攻击。
图5示出了车辆控制单元500的相关示例,该车辆控制单元500具有壳体510、基板530、微控制器单元540、密封控制器单元550和电连接器560,如上面结合图2的实施方式所讨论的。
然而,与图2的示例相比,图5中示出的车辆控制单元500不包括用于将密封控制器单元550机械地联接到壳体510的机械联接元件270。
另选地,图5中所示的车辆控制单元500包括附接到壳体510(更具体地,附接到壳体的盖520)的传感器单元570。
传感器单元570被适配为检测对壳体510的机械改变,例如检测将盖520与壳体分离或者在壳体510的表面切开开口的企图。
如图5所示,传感器单元570经由车辆控制单元500包含的电联接装置580电联接到密封控制器单元550。
因此,传感器单元570被配置为将对壳体510的机械改变转换为电信号,该电信号经由电联接装置580被传送到密封控制器单元550。
然后,由密封控制器单元550接收到的电信号用于改变该密封控制器单元550的有效性状态,从而指示壳体510可能已被破坏。
为此目的,由密封控制器单元550接收到的电信号通过过电压物理地损坏一次性可编程只读存储器(ROM)590的内容完整性,例如通过使一次性可编程只读存储器(ROM)590的电导体提供熔丝功能。
图5中所示的传感器单元570是压电元件。以这种方式,利用压电效应产生相应的电信号,即,不需要电源。即使车辆控制单元断电,这也使得能够实现非常坚固且可靠的防恶意攻击保护。
Claims (23)
1.一种车辆控制单元,所述车辆控制单元包括:
微控制器单元;
密封控制器单元,所述密封控制器单元包括用于存储有效性状态的存储器装置;
电连接器,所述电连接器将所述微控制器单元联接到所述密封控制器单元;以及
壳体,所述壳体包围所述微控制器单元、所述密封控制器单元和所述电连接器;
其中,
所述微控制器单元被配置为经由所述电连接器确定所述密封控制器单元的所述有效性状态,并且其中,所述密封控制器单元被配置为检测对所述壳体的机械改变,并且在检测到这种机械改变时改变所述有效性状态。
2.根据权利要求1所述的车辆控制单元,其中,所述车辆控制单元是自主驾驶控制单元。
3.根据权利要求1所述的车辆控制单元,所述车辆控制单元还包括机械联接元件,所述机械联接元件被适配为机械地联接所述密封控制器单元和所述壳体,其中,所述机械联接元件被适配为当机械力施加到所述壳体时,机械地冲击所述密封控制器单元的表面。
4.根据权利要求3所述的车辆控制单元,其中,所述机械联接元件被适配为当施加所述机械力以打开所述壳体或以其它方式暴露所述壳体的内部时,机械地冲击所述密封控制器单元的表面。
5.根据权利要求3所述的车辆控制单元,其中,所述机械联接元件包括切割元件,所述切割元件被配置为当所述机械力施加到所述壳体时,刮擦、切割所述密封控制器单元的表面或向所述密封控制器单元的表面施加压力。
6.根据权利要求3至5中任一项所述的车辆控制单元,其中,所述密封控制器单元的表面包括保护膜,所述保护膜被适配为在接收到所述机械联接元件的机械冲击时破裂。
7.根据权利要求6所述的车辆控制单元,其中,所述保护膜被适配为在所述保护膜破裂时影响所述密封控制器单元的电特性,从而改变存储在所述存储器装置中的所述有效性状态。
8.根据权利要求3所述的车辆控制单元,其中,所述密封控制器单元包括填充有液体物质的液体腔室,其中,所述液体腔室被适配为当所述机械联接元件对所述密封控制器单元的表面造成机械冲击时,使所述液体物质溢出到所述密封控制器内,从而影响所述密封控制器单元的电特性,以改变存储在所述存储器装置中的所述有效性状态。
9.根据权利要求8所述的车辆控制单元,其中,所述液体物质是化学物质。
10.根据权利要求9所述的车辆控制单元,其中,所述液体物质是酸或导电流体。
11.根据权利要求10所述的车辆控制单元,其中,所述液体物质是导电油墨。
12.根据权利要求1所述的车辆控制单元,其中,所述微控制器单元被配置为通过验证存储在所述密封控制器单元的所述存储器装置中的数字密钥,确定所述密封控制器单元的所述有效性状态。
13.根据权利要求12所述的车辆控制单元,其中,所述微控制器单元被配置为利用加密或解密算法来验证存储在所述密封控制器单元的所述存储器装置中的所述数字密钥。
14.根据权利要求13所述的车辆控制单元,其中,所述微控制器单元被配置为利用通过利用存储在所述微控制器单元中的对应的数字密钥的基于高级加密标准(AES)的加密算法来验证存储在所述密封控制器单元的所述存储器装置中的所述数字密钥。
15.根据权利要求12或13所述的车辆控制单元,其中,所述密封控制器单元的所述存储器装置包括适配为存储所述密封控制器单元的所述数字密钥的一次性可编程只读存储器。
16.根据权利要求15所述的车辆控制单元,其中,所述密封控制器单元被配置为使得对所述壳体的所述机械改变能够通过物理地损坏所述一次性可编程只读存储器的内容完整性来改变所述密封控制器单元的所述有效性状态。
17.根据权利要求16所述的车辆控制单元,所述车辆控制单元还包括传感器单元,所述传感器单元附接到所述壳体并且电联接到所述密封控制器单元,其中,所述传感器单元被配置为将对所述壳体的所述机械改变转换为电信号,所述电信号被传送到所述密封控制器单元,从而通过过电压物理地损坏所述一次性可编程只读存储器的所述内容完整性。
18.根据权利要求17所述的车辆控制单元,其中,所述传感器单元是压电元件。
19.根据权利要求1所述的车辆控制单元,其中,所述微控制器单元被配置为在启动时轮询所述密封控制器单元的所述有效性状态,和/或在所述车辆控制单元的运行期间偶尔或周期性地轮询所述密封控制器单元的所述有效性状态。
20.根据权利要求1所述的车辆控制单元,其中,所述电连接器提供将所述微控制器单元联接到所述密封控制器单元的通信信道。
21.根据权利要求20所述的车辆控制单元,其中,所述通信信道是有线通信链路。
22.根据权利要求20所述的车辆控制单元,其中,所述通信信道是串行外围接口(SPI)、通用异步接收器-发送器(UART)或者集成电路间(I2C)通信链路。
23.根据权利要求1所述的车辆控制单元,其中,所述车辆控制单元被配置为向车辆或汽车发动机提供控制器功能,并且其中,所述车辆控制单元还被配置为如果所述车辆控制单元确定所述密封控制器单元的所述有效性状态的所述改变,则减小控制器功能的范围。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18187238.3A EP3604049B1 (en) | 2018-08-03 | 2018-08-03 | Secure vehicle control unit |
| EP18187238.3 | 2018-08-03 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110794725A CN110794725A (zh) | 2020-02-14 |
| CN110794725B true CN110794725B (zh) | 2022-11-29 |
Family
ID=63311771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910707060.XA Active CN110794725B (zh) | 2018-08-03 | 2019-08-01 | 安全车辆控制单元 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11238184B2 (zh) |
| EP (1) | EP3604049B1 (zh) |
| CN (1) | CN110794725B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019211570A1 (de) * | 2019-08-01 | 2021-02-04 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät |
| EP3941168A1 (de) * | 2020-07-14 | 2022-01-19 | ZKW Group GmbH | Fahrzeugmodul mit einer manipulationserkennenden elektronischen steuereinheit |
| US11932268B2 (en) * | 2022-05-27 | 2024-03-19 | Plusai, Inc. | Methods and apparatus for tamper detection of a vehicle system |
| CN115515344A (zh) * | 2022-07-20 | 2022-12-23 | 岚图汽车科技有限公司 | 一种控制器壳体、中央控制器和汽车 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19512266C2 (de) * | 1994-09-23 | 1998-11-19 | Rainer Jacob | Diebstahlschutzsystem für Fahrzeuge |
| US5694335A (en) * | 1996-03-12 | 1997-12-02 | Hollenberg; Dennis D. | Secure personal applications network |
| GB9808561D0 (en) * | 1998-04-23 | 1998-06-24 | Lucas Ind Plc | Security arrangement |
| US6396400B1 (en) | 1999-07-26 | 2002-05-28 | Epstein, Iii Edwin A. | Security system and enclosure to protect data contained therein |
| DE10001260C1 (de) * | 2000-01-14 | 2001-08-30 | Daimler Chrysler Ag | Fahrzeuganordnung mit einem Identitätsspeicher und Herstellugsverfahren hierzu |
| DE10017591A1 (de) * | 2000-04-08 | 2001-10-18 | Kostal Leopold Gmbh & Co Kg | Einrichtung zum Sperren der Drehbarkeit einer Lenkspindel eines Kraftfahrzeuges |
| DE10203433A1 (de) * | 2002-01-28 | 2003-08-07 | Kostal Leopold Gmbh & Co Kg | Elektronische Steuereinrichtung |
| EP1586016A1 (en) | 2003-01-10 | 2005-10-19 | Philips Intellectual Property & Standards GmbH | Circuit arrangement and method for protecting electronic components against illicit manipulation |
| US7671324B2 (en) * | 2006-09-27 | 2010-03-02 | Honeywell International Inc. | Anti-tamper enclosure system comprising a photosensitive sensor and optical medium |
| US8279075B2 (en) | 2006-11-30 | 2012-10-02 | Honeywell International Inc. | Card slot anti-tamper protection system |
| EP2384482A1 (en) * | 2009-01-05 | 2011-11-09 | Freescale Semiconductor, Inc. | Method, system and integrated circuit for enabling access to a memory element |
| US8325486B2 (en) * | 2009-01-13 | 2012-12-04 | Dy 4 Systems Inc. | Tamper respondent module |
| US9009860B2 (en) | 2011-11-03 | 2015-04-14 | Cram Worldwide, Llc | Tamper resistance extension via tamper sensing material housing integration |
| CN102542197B (zh) * | 2011-12-05 | 2014-12-24 | 深圳市莱克科技有限公司 | 一种敏感数据保护系统 |
| CN105051751B (zh) * | 2012-12-07 | 2019-01-01 | 科瑞坡特拉股份公司 | 用于保护电路组件免受未授权访问的安全模块 |
| US10521598B2 (en) * | 2014-08-26 | 2019-12-31 | Pahmet Llc | System and method for autonomous or remote controlled destruction of stored information or components |
| KR102505538B1 (ko) | 2014-10-20 | 2023-03-03 | 베드락 오토메이션 플렛폼즈 인크. | 산업 제어 시스템을 위한 탬퍼 방지 모듈 |
| DE102014017573B4 (de) * | 2014-11-27 | 2019-01-31 | Audi Ag | Verfahren zum Betreiben eines Telematiksystems und Telematiksystem |
| EP3262782B1 (en) * | 2015-02-25 | 2022-07-27 | Private Machines Inc. | Anti-tamper system |
| GB2540408B (en) * | 2015-07-16 | 2021-09-15 | Trw Ltd | Electronic control units for vehicles |
| US10098235B2 (en) * | 2015-09-25 | 2018-10-09 | International Business Machines Corporation | Tamper-respondent assemblies with region(s) of increased susceptibility to damage |
| US9591776B1 (en) * | 2015-09-25 | 2017-03-07 | International Business Machines Corporation | Enclosure with inner tamper-respondent sensor(s) |
| US20170161527A1 (en) * | 2015-12-04 | 2017-06-08 | Lockheed Martin Corporation | Systems and methods of protecting intellectual property |
| CN106407849A (zh) * | 2016-11-29 | 2017-02-15 | 首影科技(深圳)有限公司 | 显示设备及内容安全存储及播放方法 |
| US10887349B2 (en) * | 2018-01-05 | 2021-01-05 | Byton Limited | System and method for enforcing security with a vehicle gateway |
-
2018
- 2018-08-03 EP EP18187238.3A patent/EP3604049B1/en active Active
-
2019
- 2019-07-24 US US16/520,970 patent/US11238184B2/en active Active
- 2019-08-01 CN CN201910707060.XA patent/CN110794725B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US11238184B2 (en) | 2022-02-01 |
| EP3604049A1 (en) | 2020-02-05 |
| EP3604049B1 (en) | 2022-10-05 |
| US20200042751A1 (en) | 2020-02-06 |
| CN110794725A (zh) | 2020-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110794725B (zh) | 安全车辆控制单元 | |
| CN203588399U (zh) | 支持入侵检测的具有外壳的设备 | |
| CN107646155B (zh) | 用于机动车电池的电池单体、电池、机动车和用于运行电池单体的方法 | |
| US8006101B2 (en) | Radio transceiver or other encryption device having secure tamper-detection module | |
| US20090212945A1 (en) | Intrusion detection systems for detecting intrusion conditions with respect to electronic component enclosures | |
| US7796036B2 (en) | Secure connector with integrated tamper sensors | |
| US8279075B2 (en) | Card slot anti-tamper protection system | |
| WO2009036611A1 (fr) | Couvercle de protection de sécurité | |
| CN105488421B (zh) | 无需电池的用于工业和计量装置的侵扰检测系统以及方法 | |
| CN103299310A (zh) | 用于在现场设备中保护安全模块免遭篡改尝试的装置和方法 | |
| US20080129501A1 (en) | Secure chassis with integrated tamper detection sensor | |
| JP2006155620A (ja) | 操作保護されたマイクロコントローラシステム | |
| US7495554B2 (en) | Clamshell protective encasement | |
| US20080192240A1 (en) | Methods and systems for recognizing tamper events | |
| US8601281B2 (en) | Method for operating a sensor apparatus and sensor apparatus | |
| CN101246454B (zh) | 信息存储设备保护装置及保护装置的制造方法 | |
| JP2007065865A (ja) | 開閉検知システム | |
| EP1837837A1 (en) | Active protection for closed systems | |
| CN111660814A (zh) | 用于操作机动车辆的方法 | |
| CN107133534A (zh) | 一种数据保护装置、电子设备及数据销毁方法 | |
| CN201548963U (zh) | 一种nas加密网络存储器 | |
| CN201017319Y (zh) | 信息存储设备保护装置 | |
| CN114868463B (zh) | 汽车模块 | |
| CN201017414Y (zh) | 服务器机箱防侵入报警装置 | |
| CN113867225B (zh) | 一种工业车辆权限控制器的安全防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |