CN110915250A - 用于在安全关键系统内提供子系统的安全操作的方法 - Google Patents

用于在安全关键系统内提供子系统的安全操作的方法 Download PDF

Info

Publication number
CN110915250A
CN110915250A CN201880052179.1A CN201880052179A CN110915250A CN 110915250 A CN110915250 A CN 110915250A CN 201880052179 A CN201880052179 A CN 201880052179A CN 110915250 A CN110915250 A CN 110915250A
Authority
CN
China
Prior art keywords
subsystem
scs
subsystems
cryptographic key
critical system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880052179.1A
Other languages
English (en)
Other versions
CN110915250B (zh
Inventor
K.黑菲希
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN110915250A publication Critical patent/CN110915250A/zh
Application granted granted Critical
Publication of CN110915250B publication Critical patent/CN110915250B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/16Anti-collision systems
    • G08G1/161Decentralised systems, e.g. inter-vehicle communication
    • G08G1/162Decentralised systems, e.g. inter-vehicle communication event-triggered
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Traffic Control Systems (AREA)
  • Automation & Control Theory (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Selective Calling Equipment (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Game Theory and Decision Science (AREA)
  • Medical Informatics (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

本发明涉及一种用于在安全关键系统(SCS)内提供子系统的安全操作的方法,其中,SCS的故障子系统将故障信号发送到SCS的其他子系统,该故障信号包括对于故障子系统唯一的一次性密码密钥,该密码密钥然后由其他子系统解密,并且在密码密钥有效时发起集体安全管理。本发明特别地涉及交通控制系统、自主驾驶系统或汽车驾驶员辅助系统。然而,本概念不限于这些应用,并且也可以应用于各种其他应用。本发明的解决方案有利地将集体地对紧急情形做出反应的子系统的像群体的行为与一次性密码认证和/或授权过程进行组合,从而防止由同一犯罪者对该系统的重复操纵。

Description

用于在安全关键系统内提供子系统的安全操作的方法
本发明总体上涉及用于在安全关键系统内提供子系统的安全操作的方法以及对应的安全关键系统。本发明特别地涉及在赛博物理系统内提供安全操作。本文中描述的各种系统、方法和装置可以应用于例如交通控制系统、自主驾驶系统或汽车驾驶员辅助系统。然而,本概念不限于这些应用,并且可以应用于智能配电网络、高度可靠的医疗保健系统、工业自动化和过程操控系统、可持续环境系统、军事联网系统或基础设施和通信系统等等。
常规系统可以包括多个不同的系统组件和/或子系统。这些子系统可以包括软件和/或硬件组件。子系统中的组件可以包括提供功能的功能组件,所述功能可以由同一子系统或另一子系统的其他组件激活。系统、特别是安全关键系统可以包括嵌入式子系统,该嵌入式子系统在运行时彼此通信并构建具有未知配置的更大的、松散耦合的系统。这样的松散耦合的系统通常被称为赛博物理系统。
赛博物理系统可以是例如包括多个自主车辆(例如,汽车或其他道路车辆)的智能运输系统,每个自主车辆配备有收发单元以彼此交互。由于操作期间的相关联风险,这些种类的系统可能成为安全关键的。例如,一个车辆可能遭受部分或全部失灵。在这样的情况下,车辆不能仅仅简单地例如通过发起紧急停止来停止工作,因为这可能影响该系统的其他车辆。需要对情形进行安全管理,所述安全管理将潜在地受到故障车辆影响的所有其他车辆考虑在内。
此外,在复杂的安全关键系统中,必须判定对于这样的安全关键系统的一部分或子系统而言,在安全关键系统运行时与另一部分或子系统交互操作是否安全。即使在安全关键系统的部分或子系统由不同供应商供应并且因此它们的交互成为供应商之间的信任问题时,也必须判定这一点。例如,可能必须保护自主车辆免受可能潜在影响车辆的安全管理的有意和/或无意的不利影响。
文档US 2016/0373449 A1提供了一种用于处置检测通过机载网络传输的未授权帧的情况的方法。
文档Maxim Raya等人的“Certificate Revocation in Vehicular Networks”(2006年12月31日)公开了一套协议,其用于在车辆网络中高效且有效地吊销证书,以驱逐非法或失效的网络节点。
针对该背景,本发明的目的是要找到经济的解决方案,该解决方案用于在包括彼此交互操作的多个子系统的安全关键系统内提供子系统的安全操作。
该目的通过具有权利要求1的特征的方法和具有权利要求9的特征的安全关键系统来实现。
根据本发明的第一方面,提供了一种用于在安全关键系统(SCS)内提供子系统的安全操作的方法。该方法包括评估SCS的子系统当中的故障子系统内的故障。该方法还包括由SCS的故障子系统经由故障子系统的通信单元向SCS的子系统当中的其他子系统的通信单元发送故障信号,其中该故障信号包括对于故障子系统唯一的密码密钥。该方法还包括由SCS的其他子系统中每一个的控制单元对故障信号的密码密钥进行解密。该方法还包括:当解密的密码密钥有效时,发起对故障子系统和其他子系统的集体安全管理。该方法还包括向SCS的子系统传送故障子系统的密码密钥已到期。
根据本发明的第二方面,提供了一种安全关键系统(SCS)。SCS包括子系统。每个子系统配备有集成的标识符存储器,该标识符存储器存储对于该子系统唯一的密码密钥。每个子系统还配备有通信单元,该通信单元被配置成便于与其他子系统的通信。每个子系统还配备有控制单元,该控制单元被配置成:评估子系统的故障并经由通信单元向其他子系统的通信单元发送故障信号,该故障信号包括密码密钥;和对由其他子系统之一传送的故障信号的密码密钥进行解密;在解密的密码密钥有效时发起对子系统的联合安全管理;以及向子系统传送故障子系统的密码密钥已到期。
本发明的一个想法是要通过将个体子系统的集体或群体行为的形式与加密功能性相组合,来在安全关键系统、特别是赛博物理系统中实现非常简单而有效的安全管理功能。为此,个体子系统均被提供有通信单元,该通信单元原则上可以是任何种类的收发设备、特别是基于无线数据传输技术的收发设备。当子系统之一检测到需要立即的校正动作的安全关键的失效或故障时,该特定子系统能够向其他子系统发送对应的故障信号,然后其他子系统可以以适当的方式做出反应。由于子系统能够不断地彼此通信,因此可以以集体方式(即,以集体安全管理的形式)实行对策。以该方式,行动方(即,子系统)可以以这样的方式做出反应:不存在由于一个参与者的故障所致的对系统的任何参与者的危险。此外,借助于故障信号中包括的密码密钥,保障安全管理功能免于任何形式的对系统的有意和/或无意的重复操纵。仅当故障信号的密码密钥——其对于每个子系统是唯一的——有效并且可以由其他子系统加密时,才发起集体安全管理。密码密钥可以是技术人员已知的并且适合于本申请的任何形式的(数字)密钥,例如,非对称或对称密钥或两者的组合、一次性认证和/或授权密钥等。一发起集体安全管理,所利用的密码密钥就到期(其可以被传送到其他子系统或者到SCS内或不具有SCS的中央机构),并且因此不能重复地(即,多于一次)使用单个密码密钥。在集体安全管理终止之后,相应的故障子系统然后必须例如经由安全线路或经由维护服务从受信机构获取新的密码密钥。以该方式,以非常简单而高度有效的方式提供了针对多种滥用的保护。因此,有意识地接受孤立的或单个的、偶然的或错误的故障信号,以便保持该系统尽可能简单。
总而言之,可以看到本发明的创新在于如下事实:充分的加密与集体功能性相组合,来以高效的方式提供安全关键系统的安全操作,使得例如对于冗余功能性等等的支出可以减小或最小化或至少被减轻。
在从属权利要求中找到本发明的有利实施例和改进。
根据该方法的实施例,唯一的密码密钥可以被分配给SCS的每个子系统。
SCS可以包括安全云后端,该安全云后端被配置成向SCS的每个子系统分配唯一的密码密钥。对应地,根据该方法的实施例,可以经由SCS的安全云后端将唯一的密码密钥分配给SCS的每个子系统。安全云后端可以被适配和/或被授权以与子系统的供应商的供应商服务器等等进行通信。为此,SCS可以包括与安全云后端的无线或有线接口,该安全云后端包括至少一个安全云服务器。
根据该方法的实施例,故障子系统的密码密钥的到期可以被传送到SCS的安全云后端。为此,每个控制单元可以被配置成将密码密钥的到期传送到安全云后端。
该方法还可以包括:在已终止联合安全管理之后,由安全云后端将新的密码密钥分配给故障子系统。因此,安全云后端可以被配置成在已终止联合安全管理之后,将新的密码密钥分配给故障子系统。
根据本发明的实施例,联合安全管理可以包括故障子系统的紧急停止。为此,每个控制单元可以被配置成当评估对应子系统的故障并发起联合安全管理时,发起该子系统的紧急停止。
根据本发明的实施例,SCS可以是包括自主车辆的运输系统,自主车辆构成SCS的子系统。在该情况下,联合安全管理可以包括故障车辆的紧急停止。
联合安全管理可以包括集体地适配子系统的个体移动。为此,子系统的控制单元可以被配置成在联合安全管理内集体地适配子系统的个体移动。因此,故障车辆可以停止,而其他车辆、特别是紧邻故障车辆的车辆可以以适当的方式压制其各自的速度,也可以实行紧急停止和/或可以发起任何其他合适的对策,例如,规避机动(maneuver)等。
将参考所附附图中描绘的示例性实施例更详细地解释本发明。
包括附图以提供对本发明的进一步理解,并将附图并入本说明书中并构成本说明书的一部分。附图图示了本发明的实施例,并且与描述一起用来解释本发明的原理。本发明的其他实施例和本发明的许多所意图的优点将被容易地领会,因为通过参考以下详细描述,它们变得更好理解。附图的要素不一定相对于彼此成比例。在各图中,除非另行指示,否则同样的参考标号标示同样的或功能性、同样的组件。
图1示意性地示出了根据本发明的实施例的安全关键系统(SCS)。
图2示出了用于在图1的SCS内提供子系统的安全操作的方法的示意性流程图。
尽管本文中图示和描述了特定实施例,但是本领域普通技术人员将领会到,在不脱离本发明的范围的情况下,各种替代和/或等效实现方式可以代替所示出和描述的特定实施例。一般地,本申请意图覆盖本文中讨论的特定实施例的任何改编或变型。
图1示意性地示出了根据本发明的实施例的安全关键系统(SCS)10。图2示出了用于在图1的SCS 10内提供多个子系统1a、1b的安全操作的方法M的示意性流程图。纯粹出于说明的目的,参考图1讨论的SCS 10的实施例是自主车辆的系统,该自主车辆例如是小汽车或类似物。然而,技术人员将容易意识到,本教导的许多其他应用是可能的,包括但不限于交通控制系统、汽车驾驶员辅助系统、智能配电网络、高度可靠的医疗保健系统、工业自动化和过程操控系统、可持续环境系统、军事联网系统或基础设施和通信系统等等。
图1示出了四车道的街道,在其上多个子系统1a、1b(即,车辆)正在不同的方向上(参见指示移动方向的箭头)移动。子系统1a、1b是SCS 10的自主参与者。每个子系统1a、1b被提供有集成的标识符存储器5,该集成的标识符存储器5被配置成存储对该子系统1a、1b唯一的密码密钥(出于清楚性原因,仅一些示例性子系统1a、1b被提供有参考标记,然而,所有示出的子系统1a、1b的基础设置是相似或等同的)。每个子系统1a、1b还包括:通信单元2,其被配置成便于与其他子系统1a、1b的通信。每个通信单元2可以是任何种类的收发设备,例如,用于无线数据传输的设备。此外,每个子系统1a、1b包括控制单元3,该控制单元3被配置成评估对应子系统1a的故障并将故障信号经由通信单元2发送到其他(工作)子系统1b的通信单元2。在图1中所示的特定示例中,子系统1a已经检测到失效(该步骤在图2中的M1下被指示),该失效要求它停止。因此,子系统1a经由通信单元2将故障信号发送到其他子系统1b(在图2中的M2下被指示)。故障信号包括该特定子系统1a的密码密钥。子系统1a、1b的控制单元3被配置成对故障信号的密码密钥进行解密(解密的步骤在图2中的M3下被指示)。如果密码密钥结果是有效的(即,批准故障子系统1a的真实性和/或授权),则发起子系统1a、1b的集体安全管理(在图2中的M4下被指示)。
子系统1a、1b的集体安全管理可以特别地包括:发起并执行故障子系统1a的紧急中断。对应地,为了不危害其他子系统1b、特别是直接在故障子系统1a后方或靠近故障子系统1a定位的子系统1b,集体安全管理还包括对其他子系统1b的速度的适当调整。例如,在故障子系统1a后方和附近的子系统1b可以同样地发起紧急中断或至少大幅减小其速度,和/或可能地转变它们的驾驶方向,以便避免与故障子系统1a碰撞。然而,在相反方向上驾驶的子系统1b不受影响,并且因此在没有任何改变的情况下继续前进。技术人员将容易意识到,根据本发明的集体安全管理可以包括对当前的(at hand)个体应用和个体情形有用的各种其他安全措施。
接下来,将故障子系统1a的密码密钥设置为到期,该密钥被传送到子系统1a、1b(在图2中的M5下被指示)。因此,密码密钥是一次性密钥,使得故障子系统1a发送另一个有效故障信号——即发起另一集体安全管理——是不可能的,直到故障子系统1a已经更新了其密码密钥。如上所述的SCS 10以及操作它的方法M以双重优点为特征。一方面,子系统1a、1b的像群体的行为用于实行对受影响的子系统1a、1b的安全紧急停止,该紧急停止仅涉及受故障子系统1a影响的子系统1b。另一方面,一次性密码密钥确保该系统不能被同一子系统1a、1b或犯罪者重复地操纵或不利地影响。孤立的和/或意外的错误紧急停止或其他安全措施被有意识地接受,以便在有效性与简单性之间达成最佳折衷。为了使该系统和方法有效,为个体子系统1a、1b装备某种紧急停止功能性是足够的。为了使该系统有效,不一定需要附加的和更高级的功能性。
图1中的SCS 10还包括安全云后端4,安全云后端4被配置成向SCS 10的每个子系统1a、1b分配唯一的密码密钥。安全云后端4可以被配置为某种形式的中央受信机构,并且因此还可以被配置成在已终止联合安全管理之后向故障子系统1a分配新的密码密钥(在图2中的M6下被指示)。为此,SCS 10可以包括与安全云后端4的无线或有线接口,该安全云后端4进而可以包括安全云服务器等等。对应地,每个控制单元3可以被配置成将密码密钥的到期传送到安全云后端4。
在前述详细描述中,出于使本公开简化的目的,在一个或多个示例或多个示例中将各种特征集合在一起。要理解到,以上描述意图是说明性的而非是限制性的。意图要覆盖所有替代物、修改和等同物。在回顾以上说明书后,许多其他示例对于本领域技术人员将是清楚的。
选择并描述了实施例,以便最好地解释本发明的原理及其实际应用,从而使得本领域的其他技术人员能够最好地利用本发明以及具有适合于所设想的特定用途的各种修改的各种实施例。在回顾以上说明书后,许多其他示例对于本领域技术人员将是清楚的。

Claims (15)

1.一种用于在安全关键系统(10)SCS内提供子系统(1a,1b)的安全操作的方法(M),所述方法(M)包括:
评估(M1)在SCS(10)的子系统(1a,1b)当中的故障子系统(1a)内的故障;
由SCS(10)的故障子系统(1a)经由故障子系统(1a)的通信单元(2)向SCS(10)的子系统(1a,1b)当中的其他子系统(1b)的通信单元(2)发送(M2)故障信号,其中所述故障信号包括对于故障子系统(1a)唯一的密码密钥;
由SCS(10)的其他子系统(1b)中每一个的控制单元(3)对所述故障信号的密码密钥进行解密(M3);
当解密的密码密钥有效时,发起(M4)故障子系统(1a)和其他子系统(1b)的集体安全管理;以及
向SCS(10)的子系统(1a,1b)传送(M5)故障子系统(1a)的密码密钥已到期。
2.根据权利要求1所述的方法(M),其中,唯一的密码密钥被分配给SCS(10)的每个子系统(1a,1b)。
3.根据前述权利要求中的一项所述的方法(M),其中,故障子系统(1a)的密码密钥的到期被传送到SCS(10)的安全云后端(4)。
4.根据权利要求3所述的方法(M),其中经由SCS(10)的安全云后端(4)向SCS(10)的每个子系统(1a,1b)分配唯一的密码密钥。
5.根据权利要求3或4所述的方法(M),还包括:
在已终止联合安全管理之后,由安全云后端(4)向故障子系统(1a)分配(M6)新的密码密钥。
6.根据前述权利要求中的一项所述的方法(M),其中,所述联合安全管理包括故障子系统(1a)的紧急停止。
7.根据前述权利要求中的一项所述的方法(M),其中,SCS(10)是包括自主车辆的运输系统,所述自主车辆构成SCS(10)的子系统(1a,1b)。
8.根据权利要求7所述的方法(M),其中,所述联合安全管理包括集体地适配子系统(1a,1b)的个体移动。
9.一种安全关键系统(10)SCS,包括子系统(1a,1b),每个子系统(1a,1b)配备有:
集成的标识符存储器(5),其存储对于该子系统(1a,1b)唯一的密码密钥;
通信单元(2),其被配置成便于与其他子系统(1a,1b)的通信;以及
控制单元(3),其被配置成:评估子系统(1a)的故障,并经由通信单元(2)向其他子系统(1b)的通信单元(2)发送故障信号,所述故障信号包括所述密码密钥;和对由其他子系统(1b)之一传送的故障信号的密码密钥进行解密;在解密的密码密钥有效时发起子系统(1a,1b)的集体安全管理;以及向子系统(1a,1b)传送故障子系统(1a)的密码密钥已到期。
10.根据权利要求9所述的安全关键系统(10),还包括安全云后端(4),其被配置成向所述SCS(10)的每个子系统(1a,1b)分配所述唯一的密码密钥。
11.根据权利要求10所述的安全关键系统(10),其中,每个控制单元(3)被配置成将所述密码密钥的到期传送到安全云后端(4)。
12.根据权利要求10或11所述的安全关键系统(10),其中,安全云后端(4)被配置成在已终止联合安全管理之后向故障子系统(1a)分配新的密码密钥。
13.根据权利要求9至12中任一项所述的安全关键系统(10),其中,每个控制单元(3)被配置成当评估对应子系统(1a)的故障并发起联合安全管理时,发起该子系统(1a)的紧急停止。
14.根据权利要求9至13中任一项所述的安全关键系统(10),其中,所述SCS(10)是包括自主车辆的运输系统,所述自主车辆构成所述SCS(10)的子系统(1a,1b)。
15.根据权利要求14所述的安全关键系统(10),其中,子系统(1a,1b)的控制单元(3)被配置成在所述联合安全管理内集体地适配子系统(1a,1b)的个体移动。
CN201880052179.1A 2017-08-11 2018-06-18 用于在安全关键系统内提供子系统的安全操作的方法 Active CN110915250B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17185954.9 2017-08-11
EP17185954.9A EP3442251B1 (en) 2017-08-11 2017-08-11 Method for providing a safe operation of subsystems within a safety critical system
PCT/EP2018/066060 WO2019029877A1 (en) 2017-08-11 2018-06-18 METHOD FOR PROVIDING SECURE OPERATION OF SUBSYSTEMS IN A CRITICAL SYSTEM FOR SECURITY

Publications (2)

Publication Number Publication Date
CN110915250A true CN110915250A (zh) 2020-03-24
CN110915250B CN110915250B (zh) 2024-02-02

Family

ID=59790904

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880052179.1A Active CN110915250B (zh) 2017-08-11 2018-06-18 用于在安全关键系统内提供子系统的安全操作的方法

Country Status (5)

Country Link
US (1) US11657715B2 (zh)
EP (2) EP3442251B1 (zh)
CN (1) CN110915250B (zh)
ES (1) ES2844126T3 (zh)
WO (1) WO2019029877A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11005649B2 (en) * 2018-04-27 2021-05-11 Tesla, Inc. Autonomous driving controller encrypted communications
US11423162B2 (en) * 2020-03-27 2022-08-23 Intel Corporation Systems and methods for message assurance in vehicle systems
US11520653B2 (en) * 2020-10-15 2022-12-06 Nxp Usa, Inc. System and method for controlling faults in system-on-chip

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040003247A1 (en) * 2002-03-11 2004-01-01 Fraser John D. Non-centralized secure communication services
US6771188B2 (en) * 2000-05-17 2004-08-03 Omega Patents, L.L.C. Vehicle control system for controlling a vehicle function including a vehicle tracking unit and related methods
CN101884196A (zh) * 2007-08-16 2010-11-10 Nxp股份有限公司 提供故障检测功能的系统和方法
US20110083011A1 (en) * 2009-10-07 2011-04-07 Telcordia Technologies, Inc. Method for a public-key infrastructure for vehicular networks with limited number of infrastructure servers
CN102238000A (zh) * 2010-04-21 2011-11-09 华为技术有限公司 加密通信方法、装置及系统
US8256399B2 (en) * 2008-10-21 2012-09-04 J.M. Bastille Transport Inc. Automatic management and control system for controlling accessories and engine controls of a transport motored vehicle
US20130230173A1 (en) * 2011-01-25 2013-09-05 Sanyo Electric Co., Ltd. Communication apparatus for transmitting or receiving a signal including predetermind information
US20140121898A1 (en) * 2012-10-29 2014-05-01 Broadcom Corporation Intelligent power and control policy for automotive applications
US20140289512A1 (en) * 2013-03-20 2014-09-25 Industrial Technology Research Institute Method for certificate generation and revocation with privacy preservation
US20140301550A1 (en) * 2013-04-09 2014-10-09 Robert Bosch Gmbh Method for recognizing a manipulation of a sensor and/or sensor data of the sensor
CN104871579A (zh) * 2012-09-27 2015-08-26 三星电子株式会社 移动通信系统中群组通信安全管理的方法和装置
US20160248775A1 (en) * 2015-02-20 2016-08-25 Kai Höfig Providing safe operation of a subsystem within a safety-critical system
CN106062847A (zh) * 2015-01-20 2016-10-26 松下电器(美国)知识产权公司 不正常应对方法以及电子控制单元

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011076638A1 (de) * 2011-05-27 2012-11-29 Stephan Kaufmann Verfahren zur Fahrzeugkommunikation über ein fahrzeugimplementiertes Fahrzeugdiagnosesystem, Schnittstellenmodul sowie Fahrzeugdiagnose-Schnittstelle und Diagnose- und Steuerungsnetz für eine Vielzahl von Fahrzeugen
US10254764B2 (en) * 2016-05-31 2019-04-09 Peloton Technology, Inc. Platoon controller state machine
CN106341813B (zh) * 2015-07-07 2019-12-13 电信科学技术研究院 一种信息发送接收方法及装置
US9759574B2 (en) * 2015-07-14 2017-09-12 Ford Global Technologes, Llc Vehicle emergency broadcast and relay
US20170365105A1 (en) * 2016-06-17 2017-12-21 Ford Global Technologies, Llc Method and apparatus for inter-vehicular safety awareness and alert
US10068485B2 (en) * 2016-08-15 2018-09-04 Ford Global Technologies, Llc Platooning autonomous vehicle navigation sensory exchange
EP3500940A4 (en) * 2016-08-22 2020-03-18 Peloton Technology, Inc. AUTOMATED CONNECTED VEHICLE CONTROL SYSTEM ARCHITECTURE
US10089882B2 (en) * 2016-09-21 2018-10-02 Wabco Europe Bvba Method for controlling an own vehicle to participate in a platoon

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6771188B2 (en) * 2000-05-17 2004-08-03 Omega Patents, L.L.C. Vehicle control system for controlling a vehicle function including a vehicle tracking unit and related methods
US20040003247A1 (en) * 2002-03-11 2004-01-01 Fraser John D. Non-centralized secure communication services
CN101884196A (zh) * 2007-08-16 2010-11-10 Nxp股份有限公司 提供故障检测功能的系统和方法
US8256399B2 (en) * 2008-10-21 2012-09-04 J.M. Bastille Transport Inc. Automatic management and control system for controlling accessories and engine controls of a transport motored vehicle
US20110083011A1 (en) * 2009-10-07 2011-04-07 Telcordia Technologies, Inc. Method for a public-key infrastructure for vehicular networks with limited number of infrastructure servers
CN102238000A (zh) * 2010-04-21 2011-11-09 华为技术有限公司 加密通信方法、装置及系统
US20130230173A1 (en) * 2011-01-25 2013-09-05 Sanyo Electric Co., Ltd. Communication apparatus for transmitting or receiving a signal including predetermind information
CN104871579A (zh) * 2012-09-27 2015-08-26 三星电子株式会社 移动通信系统中群组通信安全管理的方法和装置
US20140121898A1 (en) * 2012-10-29 2014-05-01 Broadcom Corporation Intelligent power and control policy for automotive applications
US20140289512A1 (en) * 2013-03-20 2014-09-25 Industrial Technology Research Institute Method for certificate generation and revocation with privacy preservation
US20140301550A1 (en) * 2013-04-09 2014-10-09 Robert Bosch Gmbh Method for recognizing a manipulation of a sensor and/or sensor data of the sensor
CN106062847A (zh) * 2015-01-20 2016-10-26 松下电器(美国)知识产权公司 不正常应对方法以及电子控制单元
US20160248775A1 (en) * 2015-02-20 2016-08-25 Kai Höfig Providing safe operation of a subsystem within a safety-critical system
CN105915506A (zh) * 2015-02-20 2016-08-31 西门子公司 用于在安全关键系统内提供子系统的安全操作的方法及设备

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
MAXIM RAYA ECT.: "Certificate Revocation in Vehicular Networks", 《HTTPS://WWW.RESEARCHGATE.NET/PUBLICATION/37433732_CERTIFICATE_REVOCATION_IN_VEHICULAR_NETWORKS》, pages 1 *
QIANG JIANG ECT.: "Fault Diagnosis of Vehicle Continuously Variable Transmission Based on Mutual Information Entropy and Support Vector Machine", 《2010 INTERNATIONAL CONFERENCE ON MEASURING TECHNOLOGY AND MECHATRONICS AUTOMATION》 *
张明玉等: "汽车电子通信的安全技术应用研究", 《网络安全技术与应用》, no. 03 *
王志;李波;: "中国机车远程监测与诊断系统(CMD系统)数据安全研究", 中国铁路, no. 04 *
石军;: "城市轨道交通信号系统网络传输安全加密机制讨论", 科技信息, no. 06 *

Also Published As

Publication number Publication date
ES2844126T3 (es) 2021-07-21
US20200166933A1 (en) 2020-05-28
US11657715B2 (en) 2023-05-23
EP3442251A1 (en) 2019-02-13
EP3616428A1 (en) 2020-03-04
WO2019029877A1 (en) 2019-02-14
EP3442251B1 (en) 2020-10-21
CN110915250B (zh) 2024-02-02

Similar Documents

Publication Publication Date Title
EP3348036B1 (en) Unauthorized access event notificaiton for vehicle electronic control units
US20190281052A1 (en) Systems and methods for securing an automotive controller network
US11288403B2 (en) System and method for cryptographic verification of vehicle authenticity
US9577997B2 (en) Authentication system and authentication method
EP2786543B1 (en) Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules
US20180270052A1 (en) Cryptographic key distribution
KR20080075801A (ko) 보안 유닛
CN110915250B (zh) 用于在安全关键系统内提供子系统的安全操作的方法
JP5772692B2 (ja) 車載制御装置の認証システム及び車載制御装置の認証方法
JP2023513295A (ja) 通信装置および通信を暗号で保護するための方法
US11438343B2 (en) Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network
CN112953939A (zh) 一种密钥管理方法
CN109416711B (zh) 用于安全验证机动车中的控制装置的方法
Stabili et al. Analyses of secure automotive communication protocols and their impact on vehicles life-cycle
CN113497704A (zh) 车载密钥生成方法、车辆及计算机可读存储介质
CN112567713B (zh) 防攻击的网络接口
JP7273947B2 (ja) 暗号鍵を車内で管理するための方法
CN111448789B (zh) 用于解锁车辆部件的设备、方法和计算机程序、车辆到车辆通信模块
KR20170055648A (ko) 자동차 내부 네트웍의 보안통신장치
KR20180045900A (ko) 자동차 내부 네트웍의 보안통신장치
CN110875800B (zh) 道路车辆中第一和第二通信节点编码/解码信号的方法和布置
GB2544175A (en) Cryptographic key distribution
KR20180045901A (ko) Otp(오티피)를 이용한 v2x(브이투엑스)통신 시스템
JP2019197999A (ja) 車両用電子制御システムおよび車両用電子制御装置
CN116961887A (zh) 车载网络通信中的密钥分发方法以及车载网络通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20210108

Address after: Munich, Germany

Applicant after: Siemens Transportation Co.,Ltd.

Address before: Munich, Germany

Applicant before: SIEMENS AG

GR01 Patent grant
GR01 Patent grant