CN110915250B - 用于在安全关键系统内提供子系统的安全操作的方法 - Google Patents
用于在安全关键系统内提供子系统的安全操作的方法 Download PDFInfo
- Publication number
- CN110915250B CN110915250B CN201880052179.1A CN201880052179A CN110915250B CN 110915250 B CN110915250 B CN 110915250B CN 201880052179 A CN201880052179 A CN 201880052179A CN 110915250 B CN110915250 B CN 110915250B
- Authority
- CN
- China
- Prior art keywords
- subsystem
- scs
- cryptographic key
- subsystems
- critical system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000004891 communication Methods 0.000 claims description 21
- 230000000977 initiatory effect Effects 0.000 claims description 7
- OMCYEZUIYGPHDJ-OQLLNIDSSA-N chembl354261 Chemical compound OC1=CC=CC=C1\C=N\NC(=O)C1=CC=CC=C1O OMCYEZUIYGPHDJ-OQLLNIDSSA-N 0.000 claims 7
- 238000013475 authorization Methods 0.000 abstract description 3
- 230000007257 malfunction Effects 0.000 description 5
- 230000002411 adverse Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G08—SIGNALLING
- G08G—TRAFFIC CONTROL SYSTEMS
- G08G1/00—Traffic control systems for road vehicles
- G08G1/16—Anti-collision systems
- G08G1/161—Decentralised systems, e.g. inter-vehicle communication
- G08G1/162—Decentralised systems, e.g. inter-vehicle communication event-triggered
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0816—Indicating performance data, e.g. occurrence of a malfunction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Traffic Control Systems (AREA)
- Automation & Control Theory (AREA)
- Aviation & Aerospace Engineering (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Selective Calling Equipment (AREA)
- Safety Devices In Control Systems (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Game Theory and Decision Science (AREA)
- Medical Informatics (AREA)
Abstract
本发明涉及一种用于在安全关键系统(SCS)内提供子系统的安全操作的方法,其中,SCS的故障子系统将故障信号发送到SCS的其他子系统,该故障信号包括对于故障子系统唯一的一次性密码密钥,该密码密钥然后由其他子系统解密,并且在密码密钥有效时发起集体安全管理。本发明特别地涉及交通控制系统、自主驾驶系统或汽车驾驶员辅助系统。然而,本概念不限于这些应用,并且也可以应用于各种其他应用。本发明的解决方案有利地将集体地对紧急情形做出反应的子系统的像群体的行为与一次性密码认证和/或授权过程进行组合,从而防止由同一犯罪者对该系统的重复操纵。
Description
技术领域
本发明总体上涉及用于在安全关键系统内提供子系统的安全操作的方法以及对应的安全关键系统。本发明特别地涉及在赛博物理系统内提供安全操作。本文中描述的各种系统、方法和装置可以应用于例如交通控制系统、自主驾驶系统或汽车驾驶员辅助系统。然而,本概念不限于这些应用,并且可以应用于智能配电网络、高度可靠的医疗保健系统、工业自动化和过程操控系统、可持续环境系统、军事联网系统或基础设施和通信系统等等。
背景技术
常规系统可以包括多个不同的系统组件和/或子系统。这些子系统可以包括软件和/或硬件组件。子系统中的组件可以包括提供功能的功能组件,所述功能可以由同一子系统或另一子系统的其他组件激活。系统、特别是安全关键系统可以包括嵌入式子系统,该嵌入式子系统在运行时彼此通信并构建具有未知配置的更大的、松散耦合的系统。这样的松散耦合的系统通常被称为赛博物理系统。
赛博物理系统可以是例如包括多个自主车辆(例如,汽车或其他道路车辆)的智能运输系统,每个自主车辆配备有收发单元以彼此交互。这些种类的系统由于操作期间的相关联风险而可能变得具有安全关键性。例如,一个车辆可能遭受部分或全部失灵。在这样的情况下,车辆不能仅仅简单地例如通过发起紧急停止来停止工作,因为这可能影响该系统的其他车辆。需要对情形进行安全管理,所述安全管理将潜在地受到故障车辆影响的所有其他车辆考虑在内。
此外,在复杂的安全关键系统中,必须判定对于这样的安全关键系统的一部分或子系统而言,在安全关键系统运行时与另一部分或子系统交互操作是否安全。即使在安全关键系统的部分或子系统由不同供应商供应并且因此它们的交互成为供应商之间的信任问题时,也必须判定这一点。例如,可能必须保护自主车辆免受可能潜在影响车辆的安全管理的有意和/或无意的不利影响。
文档US 2016/0373449 A1提供了一种用于处置检测通过机载网络传输的未授权帧的情况的方法。
文档Maxim Raya等人的“Certificate Revocation in Vehicular Networks”(2006年12月31日)公开了一套协议,其用于在车辆网络中高效且有效地吊销证书,以驱逐非法或失效的网络节点。
针对该背景,本发明的目的是要找到经济的解决方案,该解决方案用于在包括彼此交互操作的多个子系统的安全关键系统内提供子系统的安全操作。
发明内容
该目的通过本申请公开的安全操作方法和安全关键系统来实现。
根据本发明的第一方面,提供了一种用于在安全关键系统(SCS)内提供子系统的安全操作的方法。该方法包括评估SCS的子系统当中的故障子系统内的故障。该方法还包括由SCS的故障子系统经由故障子系统的通信单元向SCS的子系统当中的其他子系统的通信单元发送故障信号,其中该故障信号包括对于故障子系统唯一的密码密钥。该方法还包括由SCS的其他子系统中每一个的控制单元对故障信号的密码密钥进行解密。该方法还包括:当解密的密码密钥有效时,发起对故障子系统和其他子系统的集体安全管理。该方法还包括向SCS的子系统传送故障子系统的密码密钥已到期。
根据本发明的第二方面,提供了一种安全关键系统(SCS)。SCS包括子系统。每个子系统配备有集成的标识符存储器,该标识符存储器存储对于该子系统唯一的密码密钥。每个子系统还配备有通信单元,该通信单元被配置成便于与其他子系统的通信。每个子系统还配备有控制单元,该控制单元被配置成:评估子系统的故障并经由通信单元向其他子系统的通信单元发送故障信号,该故障信号包括密码密钥;和对由其他子系统之一传送的故障信号的密码密钥进行解密;在解密的密码密钥有效时发起对子系统的联合安全管理;以及向子系统传送故障子系统的密码密钥已到期。
本发明的一个想法是要通过将个体子系统的集体或群体行为的形式与加密功能性相组合,来在安全关键系统、特别是赛博物理系统中实现非常简单而有效的安全管理功能。为此,个体子系统均被提供有通信单元,该通信单元原则上可以是任何种类的收发设备、特别是基于无线数据传输技术的收发设备。当子系统之一检测到需要立即的校正动作的安全关键的失效或故障时,该特定子系统能够向其他子系统发送对应的故障信号,然后其他子系统可以以适当的方式做出反应。由于子系统能够不断地彼此通信,因此可以以集体方式(即,以集体安全管理的形式)实行对策。以该方式,行动方(即,子系统)可以以这样的方式做出反应:不存在由于一个参与者的故障所致的对系统的任何参与者的危险。此外,借助于故障信号中包括的密码密钥,保障安全管理功能免于任何形式的对系统的有意和/或无意的重复操纵。仅当故障信号的密码密钥——其对于每个子系统是唯一的——有效并且可以由其他子系统加密时,才发起集体安全管理。密码密钥可以是技术人员已知的并且适合于本申请的任何形式的(数字)密钥,例如,非对称或对称密钥或两者的组合、一次性认证和/或授权密钥等。一发起集体安全管理,所利用的密码密钥就到期(其可以被传送到其他子系统或者到SCS内或不具有SCS的中央机构),并且因此不能重复地(即,多于一次)使用单个密码密钥。在集体安全管理终止之后,相应的故障子系统然后必须例如经由安全线路或经由维护服务从受信机构获取新的密码密钥。以该方式,以非常简单而高度有效的方式提供了针对多种滥用的保护。因此,有意识地接受孤立的或单个的、偶然的或错误的故障信号,以便保持该系统尽可能简单。
总而言之,可以看到本发明的创新在于如下事实:充分的加密与集体功能性相组合,来以高效的方式提供安全关键系统的安全操作,使得例如对于冗余功能性等等的支出可以减小或最小化或至少被减轻。
本申请还包括其他有利实施例和改进。
根据该方法的实施例,唯一的密码密钥可以被分配给SCS的每个子系统。
SCS可以包括安全云后端,该安全云后端被配置成向SCS的每个子系统分配唯一的密码密钥。对应地,根据该方法的实施例,可以经由SCS的安全云后端将唯一的密码密钥分配给SCS的每个子系统。安全云后端可以被适配和/或被授权以与子系统的供应商的供应商服务器等等进行通信。为此,SCS可以包括与安全云后端的无线或有线接口,该安全云后端包括至少一个安全云服务器。
根据该方法的实施例,故障子系统的密码密钥的到期可以被传送到SCS的安全云后端。为此,每个控制单元可以被配置成将密码密钥的到期传送到安全云后端。
该方法还可以包括:在已终止联合安全管理之后,由安全云后端将新的密码密钥分配给故障子系统。因此,安全云后端可以被配置成在已终止联合安全管理之后,将新的密码密钥分配给故障子系统。
根据本发明的实施例,联合安全管理可以包括故障子系统的紧急停止。为此,每个控制单元可以被配置成当评估对应子系统的故障并发起联合安全管理时,发起该子系统的紧急停止。
根据本发明的实施例,SCS可以是包括自主车辆的运输系统,自主车辆构成SCS的子系统。在该情况下,联合安全管理可以包括故障车辆的紧急停止。
联合安全管理可以包括集体地适配子系统的个体移动。为此,子系统的控制单元可以被配置成在联合安全管理内集体地适配子系统的个体移动。因此,故障车辆可以停止,而其他车辆、特别是紧邻故障车辆的车辆可以以适当的方式压制其各自的速度,也可以实行紧急停止和/或可以发起任何其他合适的对策,例如,规避机动(maneuver)等。
附图说明
将参考所附附图中描绘的示例性实施例更详细地解释本发明。
包括附图以提供对本发明的进一步理解,并将附图并入本说明书中并构成本说明书的一部分。附图图示了本发明的实施例,并且与描述一起用来解释本发明的原理。本发明的其他实施例和本发明的许多所意图的优点将被容易地领会,因为通过参考以下详细描述,它们变得更好理解。附图的要素不一定相对于彼此成比例。在各图中,除非另行指示,否则同样的参考标号标示同样的或功能性、同样的组件。
图1示意性地示出了根据本发明的实施例的安全关键系统(SCS)。
图2示出了用于在图1的SCS内提供子系统的安全操作的方法的示意性流程图。
具体实施方式
尽管本文中图示和描述了特定实施例,但是本领域普通技术人员将领会到,在不脱离本发明的范围的情况下,各种替代和/或等效实现方式可以代替所示出和描述的特定实施例。一般地,本申请意图覆盖本文中讨论的特定实施例的任何改编或变型。
图1示意性地示出了根据本发明的实施例的安全关键系统(SCS)10。图2示出了用于在图1的SCS 10内提供多个子系统1a、1b的安全操作的方法M的示意性流程图。纯粹出于说明的目的,参考图1讨论的SCS 10的实施例是自主车辆的系统,该自主车辆例如是小汽车或类似物。然而,技术人员将容易意识到,本教导的许多其他应用是可能的,包括但不限于交通控制系统、汽车驾驶员辅助系统、智能配电网络、高度可靠的医疗保健系统、工业自动化和过程操控系统、可持续环境系统、军事联网系统或基础设施和通信系统等等。
图1示出了四车道的街道,在其上多个子系统1a、1b(即,车辆)正在不同的方向上(参见指示移动方向的箭头)移动。子系统1a、1b是SCS 10的自主参与者。每个子系统1a、1b被提供有集成的标识符存储器5,该集成的标识符存储器5被配置成存储对该子系统1a、1b唯一的密码密钥(出于清楚性原因,仅一些示例性子系统1a、1b被提供有参考标记,然而,所有示出的子系统1a、1b的基础设置是相似或等同的)。每个子系统1a、1b还包括:通信单元2,其被配置成便于与其他子系统1a、1b的通信。每个通信单元2可以是任何种类的收发设备,例如,用于无线数据传输的设备。此外,每个子系统1a、1b包括控制单元3,该控制单元3被配置成评估对应子系统1a的故障并将故障信号经由通信单元2发送到其他(工作)子系统1b的通信单元2。在图1中所示的特定示例中,子系统1a已经检测到失效(该步骤在图2中的M1下被指示),该失效要求它停止。因此,子系统1a经由通信单元2将故障信号发送到其他子系统1b(在图2中的M2下被指示)。故障信号包括该特定子系统1a的密码密钥。子系统1a、1b的控制单元3被配置成对故障信号的密码密钥进行解密(解密的步骤在图2中的M3下被指示)。如果密码密钥结果是有效的(即,批准故障子系统1a的真实性和/或授权),则发起子系统1a、1b的集体安全管理(在图2中的M4下被指示)。
子系统1a、1b的集体安全管理可以特别地包括:发起并执行故障子系统1a的紧急中断。对应地,为了不危害其他子系统1b、特别是直接在故障子系统1a后方或靠近故障子系统1a定位的子系统1b,集体安全管理还包括对其他子系统1b的速度的适当调整。例如,在故障子系统1a后方和附近的子系统1b可以同样地发起紧急中断或至少大幅减小其速度,和/或可能地转变它们的驾驶方向,以便避免与故障子系统1a碰撞。然而,在相反方向上驾驶的子系统1b不受影响,并且因此在没有任何改变的情况下继续前进。技术人员将容易意识到,根据本发明的集体安全管理可以包括对当前的(at hand)个体应用和个体情形有用的各种其他安全措施。
接下来,将故障子系统1a的密码密钥设置为到期,该密钥被传送到子系统1a、1b(在图2中的M5下被指示)。因此,密码密钥是一次性密钥,使得故障子系统1a发送另一个有效故障信号——即发起另一集体安全管理——是不可能的,直到故障子系统1a已经更新了其密码密钥。如上所述的SCS 10以及操作它的方法M以双重优点为特征。一方面,子系统1a、1b的像群体的行为用于实行对受影响的子系统1a、1b的安全紧急停止,该紧急停止仅涉及受故障子系统1a影响的子系统1b。另一方面,一次性密码密钥确保该系统不能被同一子系统1a、1b或犯罪者重复地操纵或不利地影响。孤立的和/或意外的错误紧急停止或其他安全措施被有意识地接受,以便在有效性与简单性之间达成最佳折衷。为了使该系统和方法有效,为个体子系统1a、1b装备某种紧急停止功能性是足够的。为了使该系统有效,不一定需要附加的和更高级的功能性。
图1中的SCS 10还包括安全云后端4,安全云后端4被配置成向SCS 10的每个子系统1a、1b分配唯一的密码密钥。安全云后端4可以被配置为某种形式的中央受信机构,并且因此还可以被配置成在已终止联合安全管理之后向故障子系统1a分配新的密码密钥(在图2中的M6下被指示)。为此,SCS 10可以包括与安全云后端4的无线或有线接口,该安全云后端4进而可以包括安全云服务器等等。对应地,每个控制单元3可以被配置成将密码密钥的到期传送到安全云后端4。
在前述详细描述中,出于使本公开简化的目的,在一个或多个示例或多个示例中将各种特征集合在一起。要理解到,以上描述意图是说明性的而非是限制性的。意图要覆盖所有替代物、修改和等同物。在回顾以上说明书后,许多其他示例对于本领域技术人员将是清楚的。
选择并描述了实施例,以便最好地解释本发明的原理及其实际应用,从而使得本领域的其他技术人员能够最好地利用本发明以及具有适合于所设想的特定用途的各种修改的各种实施例。在回顾以上说明书后,许多其他示例对于本领域技术人员将是清楚的。
Claims (15)
1.一种用于在安全关键系统(10)SCS内提供子系统(1a,1b)的安全操作的方法(M),所述方法(M)包括:
评估(M1)在SCS(10)的子系统(1a,1b)当中的故障子系统(1a)内的故障;
由SCS(10)的故障子系统(1a)经由故障子系统(1a)的通信单元(2)向SCS(10)的子系统(1a,1b)当中的其他子系统(1b)的通信单元(2)发送(M2)故障信号,其中所述故障信号包括对于故障子系统(1a)唯一的密码密钥;
由SCS(10)的其他子系统(1b)中每一个的控制单元(3)对所述故障信号的密码密钥进行解密(M3);
当解密的密码密钥有效时,发起(M4)故障子系统(1a)和其他子系统(1b)的集体安全管理;以及
向SCS(10)的子系统(1a,1b)传送(M5)故障子系统(1a)的密码密钥已到期。
2.根据权利要求1所述的方法(M),其中,唯一的密码密钥被分配给SCS(10)的每个子系统(1a,1b)。
3.根据前述权利要求中的一项所述的方法(M),其中,故障子系统(1a)的密码密钥的到期被传送到SCS(10)的安全云后端(4)。
4.根据权利要求3所述的方法(M),其中经由SCS(10)的安全云后端(4)向SCS(10)的每个子系统(1a,1b)分配唯一的密码密钥。
5.根据权利要求3所述的方法(M),还包括:
在已终止联合安全管理之后,由安全云后端(4)向故障子系统(1a)分配(M6)新的密码密钥。
6.根据权利要求5所述的方法(M),其中,所述联合安全管理包括故障子系统(1a)的紧急停止。
7.根据权利要求1-2和4-6中的一项所述的方法(M),其中,SCS(10)是包括自主车辆的运输系统,所述自主车辆构成SCS(10)的子系统(1a,1b)。
8.根据权利要求7所述的方法(M),其中,联合安全管理包括集体地适配子系统(1a,1b)的个体移动。
9.一种安全关键系统(10)SCS,包括子系统(1a,1b),每个子系统(1a,1b)配备有:
集成的标识符存储器(5),其存储对于该子系统(1a,1b)唯一的密码密钥;
通信单元(2),其被配置成便于与其他子系统(1a,1b)的通信;以及
控制单元(3),其被配置成:评估子系统(1a)的故障,并经由通信单元(2)向其他子系统(1b)的通信单元(2)发送故障信号,所述故障信号包括所述密码密钥;和对由其他子系统(1b)之一传送的故障信号的密码密钥进行解密;在解密的密码密钥有效时发起子系统(1a,1b)的集体安全管理;以及向子系统(1a,1b)传送故障子系统(1a)的密码密钥已到期。
10.根据权利要求9所述的安全关键系统(10),还包括安全云后端(4),其被配置成向所述SCS(10)的每个子系统(1a,1b)分配所述唯一的密码密钥。
11.根据权利要求10所述的安全关键系统(10),其中,每个控制单元(3)被配置成将所述密码密钥的到期传送到安全云后端(4)。
12.根据权利要求10或11所述的安全关键系统(10),其中,安全云后端(4)被配置成在已终止联合安全管理之后向故障子系统(1a)分配新的密码密钥。
13.根据权利要求9至11中任一项所述的安全关键系统(10),其中,每个控制单元(3)被配置成当评估对应子系统(1a)的故障并发起联合安全管理时,发起该子系统(1a)的紧急停止。
14.根据权利要求9至11中任一项所述的安全关键系统(10),其中,所述SCS(10)是包括自主车辆的运输系统,所述自主车辆构成所述SCS(10)的子系统(1a,1b)。
15.根据权利要求14所述的安全关键系统(10),其中,子系统(1a,1b)的控制单元(3)被配置成在联合安全管理内集体地适配子系统(1a,1b)的个体移动。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17185954.9A EP3442251B1 (en) | 2017-08-11 | 2017-08-11 | Method for providing a safe operation of subsystems within a safety critical system |
| EP17185954.9 | 2017-08-11 | ||
| PCT/EP2018/066060 WO2019029877A1 (en) | 2017-08-11 | 2018-06-18 | METHOD FOR PROVIDING SECURE OPERATION OF SUBSYSTEMS IN A CRITICAL SYSTEM FOR SECURITY |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110915250A CN110915250A (zh) | 2020-03-24 |
| CN110915250B true CN110915250B (zh) | 2024-02-02 |
Family
ID=59790904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880052179.1A Active CN110915250B (zh) | 2017-08-11 | 2018-06-18 | 用于在安全关键系统内提供子系统的安全操作的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11657715B2 (zh) |
| EP (2) | EP3442251B1 (zh) |
| CN (1) | CN110915250B (zh) |
| ES (1) | ES2844126T3 (zh) |
| WO (1) | WO2019029877A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11005649B2 (en) * | 2018-04-27 | 2021-05-11 | Tesla, Inc. | Autonomous driving controller encrypted communications |
| US11423162B2 (en) * | 2020-03-27 | 2022-08-23 | Intel Corporation | Systems and methods for message assurance in vehicle systems |
| US11520653B2 (en) * | 2020-10-15 | 2022-12-06 | Nxp Usa, Inc. | System and method for controlling faults in system-on-chip |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6771188B2 (en) * | 2000-05-17 | 2004-08-03 | Omega Patents, L.L.C. | Vehicle control system for controlling a vehicle function including a vehicle tracking unit and related methods |
| CN101884196A (zh) * | 2007-08-16 | 2010-11-10 | Nxp股份有限公司 | 提供故障检测功能的系统和方法 |
| CN102238000A (zh) * | 2010-04-21 | 2011-11-09 | 华为技术有限公司 | 加密通信方法、装置及系统 |
| US8256399B2 (en) * | 2008-10-21 | 2012-09-04 | J.M. Bastille Transport Inc. | Automatic management and control system for controlling accessories and engine controls of a transport motored vehicle |
| CN104871579A (zh) * | 2012-09-27 | 2015-08-26 | 三星电子株式会社 | 移动通信系统中群组通信安全管理的方法和装置 |
| CN105915506A (zh) * | 2015-02-20 | 2016-08-31 | 西门子公司 | 用于在安全关键系统内提供子系统的安全操作的方法及设备 |
| CN106062847A (zh) * | 2015-01-20 | 2016-10-26 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003223238A1 (en) * | 2002-03-11 | 2003-09-29 | Visionshare, Inc. | Method and system for peer-to-peer secure communication |
| US8397063B2 (en) * | 2009-10-07 | 2013-03-12 | Telcordia Technologies, Inc. | Method for a public-key infrastructure for vehicular networks with limited number of infrastructure servers |
| WO2012101721A1 (ja) * | 2011-01-25 | 2012-08-02 | 三洋電機株式会社 | 通信装置 |
| DE102011076638A1 (de) * | 2011-05-27 | 2012-11-29 | Stephan Kaufmann | Verfahren zur Fahrzeugkommunikation über ein fahrzeugimplementiertes Fahrzeugdiagnosesystem, Schnittstellenmodul sowie Fahrzeugdiagnose-Schnittstelle und Diagnose- und Steuerungsnetz für eine Vielzahl von Fahrzeugen |
| WO2018039134A1 (en) * | 2016-08-22 | 2018-03-01 | Peloton Technology, Inc. | Automated connected vehicle control system architecture |
| US8768567B2 (en) | 2012-10-29 | 2014-07-01 | Broadcom Corporation | Intelligent power and control policy for automotive applications |
| US9425967B2 (en) * | 2013-03-20 | 2016-08-23 | Industrial Technology Research Institute | Method for certificate generation and revocation with privacy preservation |
| DE102013206185A1 (de) * | 2013-04-09 | 2014-10-09 | Robert Bosch Gmbh | Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors |
| CN106341813B (zh) * | 2015-07-07 | 2019-12-13 | 电信科学技术研究院 | 一种信息发送接收方法及装置 |
| US9759574B2 (en) * | 2015-07-14 | 2017-09-12 | Ford Global Technologes, Llc | Vehicle emergency broadcast and relay |
| EP3465371A4 (en) * | 2016-05-31 | 2019-12-18 | Peloton Technology Inc. | STATE MACHINE FOR PLATOON REGULATOR |
| US20170365105A1 (en) * | 2016-06-17 | 2017-12-21 | Ford Global Technologies, Llc | Method and apparatus for inter-vehicular safety awareness and alert |
| US10068485B2 (en) * | 2016-08-15 | 2018-09-04 | Ford Global Technologies, Llc | Platooning autonomous vehicle navigation sensory exchange |
| US10089882B2 (en) * | 2016-09-21 | 2018-10-02 | Wabco Europe Bvba | Method for controlling an own vehicle to participate in a platoon |
-
2017
- 2017-08-11 ES ES17185954T patent/ES2844126T3/es active Active
- 2017-08-11 EP EP17185954.9A patent/EP3442251B1/en active Active
-
2018
- 2018-06-18 EP EP18734478.3A patent/EP3616428A1/en not_active Withdrawn
- 2018-06-18 CN CN201880052179.1A patent/CN110915250B/zh active Active
- 2018-06-18 WO PCT/EP2018/066060 patent/WO2019029877A1/en unknown
- 2018-06-18 US US16/636,353 patent/US11657715B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6771188B2 (en) * | 2000-05-17 | 2004-08-03 | Omega Patents, L.L.C. | Vehicle control system for controlling a vehicle function including a vehicle tracking unit and related methods |
| CN101884196A (zh) * | 2007-08-16 | 2010-11-10 | Nxp股份有限公司 | 提供故障检测功能的系统和方法 |
| US8256399B2 (en) * | 2008-10-21 | 2012-09-04 | J.M. Bastille Transport Inc. | Automatic management and control system for controlling accessories and engine controls of a transport motored vehicle |
| CN102238000A (zh) * | 2010-04-21 | 2011-11-09 | 华为技术有限公司 | 加密通信方法、装置及系统 |
| CN104871579A (zh) * | 2012-09-27 | 2015-08-26 | 三星电子株式会社 | 移动通信系统中群组通信安全管理的方法和装置 |
| CN106062847A (zh) * | 2015-01-20 | 2016-10-26 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| CN105915506A (zh) * | 2015-02-20 | 2016-08-31 | 西门子公司 | 用于在安全关键系统内提供子系统的安全操作的方法及设备 |
Non-Patent Citations (5)
| Title |
|---|
| Certificate Revocation in Vehicular Networks;Maxim Raya ect.;《https://www.researchgate.net/publication/37433732_Certificate_Revocation_in_Vehicular_Networks》;正文第1节和第5.1节 * |
| Fault Diagnosis of Vehicle Continuously Variable Transmission Based on Mutual Information Entropy and Support Vector Machine;Qiang Jiang ect.;《2010 International Conference on Measuring Technology and Mechatronics Automation》;全文 * |
| 中国机车远程监测与诊断系统(CMD系统)数据安全研究;王志;李波;;中国铁路(04);全文 * |
| 城市轨道交通信号系统网络传输安全加密机制讨论;石军;;科技信息(06);全文 * |
| 汽车电子通信的安全技术应用研究;张明玉等;《网络安全技术与应用》(第03期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200166933A1 (en) | 2020-05-28 |
| CN110915250A (zh) | 2020-03-24 |
| EP3442251A1 (en) | 2019-02-13 |
| EP3616428A1 (en) | 2020-03-04 |
| EP3442251B1 (en) | 2020-10-21 |
| ES2844126T3 (es) | 2021-07-21 |
| WO2019029877A1 (en) | 2019-02-14 |
| US11657715B2 (en) | 2023-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190281052A1 (en) | Systems and methods for securing an automotive controller network | |
| KR102244569B1 (ko) | 오토모티브 이더넷에 기초하여 차량 내부 네트워크에서 차량 내 디바이스간 통신 방법 및 장치 | |
| EP3348036B1 (en) | Unauthorized access event notificaiton for vehicle electronic control units | |
| US9577997B2 (en) | Authentication system and authentication method | |
| US20180270052A1 (en) | Cryptographic key distribution | |
| CN110915250B (zh) | 用于在安全关键系统内提供子系统的安全操作的方法 | |
| JP2008271506A (ja) | 機密保護装置 | |
| US11438343B2 (en) | Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network | |
| Stabili et al. | Analyses of secure automotive communication protocols and their impact on vehicles life-cycle | |
| CN113132098A (zh) | 面向大规模车内网络的可扩展can总线安全通信方法及装置 | |
| CN113497704A (zh) | 车载密钥生成方法、车辆及计算机可读存储介质 | |
| CN109416711B (zh) | 用于安全验证机动车中的控制装置的方法 | |
| CN112567713B (zh) | 防攻击的网络接口 | |
| US11218309B2 (en) | Vehicle communication system and vehicle communication method | |
| CN111448789B (zh) | 用于解锁车辆部件的设备、方法和计算机程序、车辆到车辆通信模块 | |
| US9665707B2 (en) | Systems and methods for cyber security of intra-vehicular peripherals powered by wire | |
| KR20180045900A (ko) | 자동차 내부 네트웍의 보안통신장치 | |
| JP2023513295A (ja) | 通信装置および通信を暗号で保護するための方法 | |
| KR20170055648A (ko) | 자동차 내부 네트웍의 보안통신장치 | |
| GB2544175A (en) | Cryptographic key distribution | |
| CN110875800B (zh) | 道路车辆中第一和第二通信节点编码/解码信号的方法和布置 | |
| KR20180045901A (ko) | Otp(오티피)를 이용한 v2x(브이투엑스)통신 시스템 | |
| JP7003832B2 (ja) | 車両用電子制御システムおよび車両用電子制御装置 | |
| JP2024007523A (ja) | メッセージの安全な高可用性伝送のための装置、方法、コンピュータプログラム、この装置を含んでいる車両 | |
| CN118020270A (zh) | 计算系统中的安全通信 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210108 Address after: Munich, Germany Applicant after: Siemens Transportation Co.,Ltd. Address before: Munich, Germany Applicant before: SIEMENS AG |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |