CN111090270B - 使用信息验证码的控制器故障通知 - Google Patents

使用信息验证码的控制器故障通知 Download PDF

Info

Publication number
CN111090270B
CN111090270B CN201910424804.7A CN201910424804A CN111090270B CN 111090270 B CN111090270 B CN 111090270B CN 201910424804 A CN201910424804 A CN 201910424804A CN 111090270 B CN111090270 B CN 111090270B
Authority
CN
China
Prior art keywords
controller
mac
information
failed
correct
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910424804.7A
Other languages
English (en)
Other versions
CN111090270A (zh
Inventor
J·A·柯伊伯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of CN111090270A publication Critical patent/CN111090270A/zh
Application granted granted Critical
Publication of CN111090270B publication Critical patent/CN111090270B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • G05B23/027Alarm generation, e.g. communication protocol; Forms of alarm
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Human Computer Interaction (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种使用信息验证码(MAC)在多控制器系统中提供控制器故障通知的方法和系统包括在第一安全周边设备,从监测多控制器系统的控制器中的第一控制器的监测器接收故障通知,其中故障通知指示了第一控制器发生故障。所述方法还包括在第一安全周边设备,从第一控制器处接收作为第一正确MAC的请求的密钥索引,并基于故障通知从第一安全周边设备向第一控制器提供故障MAC。故障MAC与来自第一控制器的密钥索引所指示的第一正确MAC不同。多控制器系统的控制器中的第二控制器从第一控制器接收包括故障MAC的信息。第二控制器基于与第二控制器所期望的第一正确MAC不匹配的故障MAC确定来自第一控制器的信息不能被信任。

Description

使用信息验证码的控制器故障通知
技术领域
本发明涉及使用信息验证码(MAC)的控制器故障通知。
背景技术
多控制器系统在互相通信的多个控制器上分配功能。车辆(例如,汽车、卡车、农用机械、施工设备、自动生产工具)为多控制器系统的一个示例。多控制器之间的通信促进了完整的多控制器系统的正确运行。当所述控制器中的一个发生故障时,所述多控制器系统的运行会受到负面的影响。因此,使用MAC提供控制器故障的通知是需要的。
发明内容
在一个示例性实施例中,一种使用信息验证码(MAC)在多控制器系统中提供控制器故障通知的方法,包括在第一安全周边设备从监测多控制器系统的控制器中的第一控制器的监测器接收故障通知。所述故障通知指示了第一控制器发生故障。所述方法还包括在所述第一安全周边设备,从所述第一控制器处接收作为第一正确MAC的请求的密钥索引;以及基于所述故障通知从所述第一安全周边设备向所述第一控制器提供故障MAC。所述故障MAC与来自第一控制器的密钥索引所指示的第一正确MAC不同。多控制器系统的控制器中的第二控制器从所述第一控制器接收信息。所述信息包括所述故障MAC。所述第二控制器,基于与所述第二控制器所期望的第一正确MAC不匹配的故障MAC确定来自第一控制器的信息不能被信任。
除了以上所述的一个或者多个特征,所述方法还包括在接收来自故障控制器的信息后,通过第二控制器从第二周边设备请求第二正确MAC。所述第二正确MAC为与所述第一正确MAC相同的MAC。
除了以上所述的一个或者多个特征,所述方法还包括在第二控制器从所述第二安全周边设备获取第二正确MAC。
除了以上所述的一个或者多个特征,所述方法还包括在所述第二控制器,将来自所述第一控制器的信息中的故障MAC与所述第二正确MAC相比较。
除了以上所述的一个或者多个特征,所述方法还包括在确认来自所述第一控制器的信息不能被信任后,通过所述第二控制器从第二安全周边设备请求安全模式MAC。
除了以上所述的一个或者多个特征,所述方法还包括在所述第二控制器从第二安全周边设备接收安全模式MAC。
除了以上所述的一个或者多个特征,所述方法还包括在所述第二控制器将来自第一控制器的信息中的故障MAC与所述安全模式MAC相比较。
除了以上所述的一个或者多个特征,所述方法还包括所述第二控制器基于与所述安全模式MAC匹配的故障MAC发布故障码至中央控制器,以通知所述中央控制器所述第一控制器发生故障。
除了以上所述的一个或者多个特征,所述方法还包括所述第一控制器在其发生故障前发布常规健康信息至监测器。
除了以上所述的一个或者多个特征,所述方法还包括所述监测器在所述第一控制器停止发布常规健康信息至所述监测器后发布故障通知至所述第一安全周边设备。
在另一个示例性实施例中,一种多控制器系统包括所述多控制器系统的控制器中的第一控制器,以及监测器,所述监测器配置为从所述第一控制器接收常规健康信息并在所述第一控制器停止发布常规健康信息至所述监测器后发布故障通知。第一安全周边设备从所述监测器接收故障通知。所述故障通知指示第一控制器发生故障。第一安全周边设备还从第一控制器接收作为请求第一正确MAC的密钥索引,并基于所述故障通知提供故障MAC至第一控制器。所述故障MAC与第一控制器请求的第一正确MAC不同。所述多控制器系统的控制器中的第二控制器从所述第一控制器接收包含故障MAC的信息,并基于所述故障MAC与第二控制器期望的第一正确MAC不匹配确定来自第一控制器的信息不能被信任。
除了以上所述的一个或者多个特征,所述系统还包括第二安全周边设备。所述第二控制器在从所述故障控制器接收信息后从所述第二安全周边设备请求第二正确MAC。所述第二正确MAC为与所述第一正确MAC相同的MAC。
除了以上所述的一个或者多个特征,所述第二控制器从第二安全周边设备接收第二正确MAC。
除了以上所述的一个或者多个特征,所述第二控制器将来自第一控制器的信息中的故障MAC与第二正确MAC相比较。
除了以上所述的一个或者多个特征,所述第二控制器在确定来自第一控制器的信息不能被信任后从第二安全周边设备请求安全模式MAC。
除了以上所述的一个或者多个特征,所述第二控制器从第二安全周边设备接收安全模式MAC。
除了以上所述的一个或者多个特征,所述第二控制器将来自第一控制器的信息中的故障MAC与安全模式MAC相比较。
除了以上所述的一个或者多个特征,所述第二控制器基于与所述安全模式MAC相匹配的故障MAC发布故障码至中央控制器,以通知所述中央控制器所述第一控制器发生故障。
除了以上所述的一个或者多个特征,所述多控制器系统为车辆的一部分。
除了以上所述的一个或者多个特征,所述车辆的一个或者多个操作基于所述多控制器系统的控制器之间的通信受到控制。
根据以下具体描述并结合附图,本发明的以上特征和优势以及其他特征和优势将会变得显而易见。
附图说明
下文仅以举例的方式对本发明的其他特征、优点和细节进行具体描述,以下具体描述参考附图进行,附图中:
图1示出了车辆涉及使用信息验证码(MAC)的控制器故障通知的相关方面的框图;
图2示出了用于解释根据一个或者多个实施例的使用MAC的控制器故障通知的框图;以及
图3示出了涉及根据一个或者多个实施例的执行使用MAC的控制器故障通知的框图。
具体实施方式
以下描述在本质上仅为示例性且不旨在限制本发明、其应用或使用。应当明白,在附图中,对应的参考数字标记了相似或者对应的部件和特征。
如前所述,多控制器系统,像车辆,通常需要在控制器之间进行通信以正常运行。当其中一个控制器发生故障,其他控制器必须得到通知。这是因为出故障的控制器会提供不正确的数据至其他控制器,这会导致错误操作或甚至危险。先前的故障检测方法涉及停止故障控制器的所有通信作为其不正确运行的标识。然而,当通过通讯缺失来警告其他控制器所述故障时,这也会阻止了可促进诊断或者修正控制器运行的来自故障控制器的诊断码通信或对故障控制器的修复。
所述系统和方法于此详细描述的实施例涉及在故障控制器执行编码通信时使用MAC的控制器故障通知。举例来说,车辆包括一安全周边设备,以允许与某一对安全起关键作用的功能(例如,发动机控制,制动器控制)相关的控制器的已验证的通信。所述安全周边设备的算术逻辑单元(ALU)生成包含在所述通信中的MAC。详细来说,此MAC可用于指示故障,以此使得故障控制器不需要停止所有通信。其他控制器对此故障指示MAC的识别有利于其他控制器的目标运行时反应的可能性,同时也有利于对故障的诊断和修复。
根据一个示例性实施例,图1示出了涉及使用MAC的控制器故障通知的车辆100的相关方面的框图,其为数字签名。在图1中示出的示例性车辆100为汽车101。示出的车辆100具有数个控制器110a-110n(通常简称为110),其也可被称为电子控制单元(ECU)。每一控制器110均与安全周边设备120相关,如图所示。根据一个作为选择的实施例,控制器110可与单个安全周边设备120通信。每个安全周边设备120包括ALU210(图2)以及其他部件,提供验证码(即,MAC),如下文结合图2进一步所述。车辆也可包括与一个或者多个控制器110相通信的传感器130(例如,摄像机、雷达系统、激光雷达系统)。其中一些控制器110在图中具有对应的监测器115a-115m(通常简称为115)。当为简单起见仅有给定的控制器110和对应的监测器115在图中示出时,车辆101图示的全部部件均可使用有线或者无线通信。此外,图1所示部件的位置仅为示例性的,控制器110或者传感器130可位于汽车101的不同位置上,根据作为选择的实施例。
汽车101的每一控制器110可根据汽车安全完整性等级(ASIL)分类。例如,发动机控制器110或者制动器控制器110可以归类为高ASIL系统,因为他们影响汽车101的运行安全。另一方面,娱乐控制器110可归类为低ASIL系统或者根本没有ASIL等级。车窗控制器110可被认为中等ASIL系统。通常,高ASIL系统与更多通过监测器115或者其他系统实现的故障检测相关。在图所示的示例性车辆101中,每一监测器115执行对应的控制器110的故障检测和反应。例如,监测器115a执行针对控制器110a的故障检测和反应。
图2为用于解释根据一个或者多个实施例使用MAC的控制器故障通知的框图。两个控制器110A和110X在图中示出。每一个控制器110A和110X与对应的监测器115A和115X以及对应的安全周边设备120A和120X耦合。每一个控制器110A、110X包括处理电路,所述处理电路可包括特定用途集成电路(ASIC),电子电路,执行一个或者多个软件或者固件程序的处理器220A、220X(统称为220)(共享的,专用的,或者群组)以及存储器230A、230X(统称为230),组合逻辑电路,和/或其他可提供期望的功能的合适的部件。安全周边设备120A、120X包括生成MAC的ALU210。安全周边设备120A、120X包括处理电路,如控制器110。ALU210可以是另外的或者是所述处理电路的其他处理器的一部分,其还可包括存储器215。控制器110和对应的安全周边设备120可以是与对应的监测器115相同的集成电路(即,芯片)的一部分,且可以是在与对应的监测器115相同的印刷电路板(PCB)上。
出于示例的目的,假设控制器110A发送通信至控制器110X,控制器110A,通过将对应的密钥索引和将被验证发送的数据发送至安全周边设备120A,选择存储在安全周边设备120A中的密钥。然后从安全周边设备120A向控制器110A提供签名和MAC C1。控制器110A然后发送具有数据和MAC C1的信息至控制器110X。当控制器110X接收来自控制器110A的通信时,它发送对应于信息中的数据的密钥索引和数据至安全周边设备120X,以获取MAC C2。控制器110X比较从来自控制器110A的通信中接收的MAC C1和从安全周边设备120获得的MACC2。如果MAC C1和MAC C2相同,信息中的数据则是已验证的,控制器110X知道它能够信任来自控制器110A的通信中的数据。
根据一个或者多个实施例,监测器115A从控制器110A获取常规(例如,定期)通信。当所述控制器110A发生故障,它终止与监测器115A的通信。不像现有的系统,根据一个或者多个实施例,控制器110A在检测到故障时仅停止与对应的监测器115A的通信,而继续其他通信,例如,与控制器110X的通信。当控制器110A停止与对应的监测器115A的通信时,监测器115A进而通知安全周边设备120A关于控制器110A中的故障。这使得安全周边设备120A(具体地,ALU210A)使用一预设密钥,并向控制器110A提供故障MAC C1’(图3),所述预设密钥区别于与来自控制器110A的密钥索引对应的密钥。当控制器110X随后接收来自控制器110A的具有故障MAC C1’的通信时,其发现MAC C2与控制器110A发送的故障MAC C1’并不匹配。这指示了接收的从控制器110A至控制器110X的信息中存在故障。控制器110X对控制器110A中故障的学习的一个反应是不在使用来自控制器110A的信息中的数据。
根据另外的或者作为选择的实施例,当安全周边设备120A从监测器115A处获得控制器110A中存在故障的信息时,安全周边设备120A提供安全模式MAC C1’,而不是仅提供故障MAC。安全周边设备120A使用预设密钥生成的安全模式MAC C1’为特定的预设MAC,而不仅是具有其中介绍的错误的MAC C1,所述预设密钥与对应来自控制器110A的密钥索引的密钥不同。在从控制器110A接收带有MAC C1’的通信时,在确定MAC C1’与MAC C2不匹配后,控制器110X可向安全周边设备120X提供与安全密钥相关联的密钥索引以获得安全模式MACC2’。控制器110X然后可将从控制器110A处接收的安全模式MAC C1’与安全模式MAC C2’相比较。举例来说,如果匹配,控制器110X则验证控制器110A中存在故障,而不是存在数据损坏问题。举例来说,控制器110X然后可发送故障代码至中央控制器110以指示控制器110A发生故障。中央控制器110可为任何控制器110或者另外的执行其他控制器110的管理功能的控制器110。发到中央控制器110的故障指示可带来对控制器110A的诊断和修复。
图3示出了涉及执行根据一个或者多个实施例的使用MAC的控制器故障通知的信息流。控制器110A发送密钥索引k1和数据D至安全周边设备120A,以及安全周边设备120A发送MAC C1回控制器110A。基于从安全周边设备120A处接收的MAC C1,控制器110A发送数据D和MAC C1至控制器110X。基于对具有数据D和MAC C1的信息的接收,控制器110X发送密钥索引k2和数据D至安全周边设备120X并从安全周边设备120X处获取MAC C2。控制器110X比较MAC C1和MAC C2以确定它们是否相同。如果它们相同,控制器110X则可信任数据D并在需要时使用数据D。
如图3所示,控制器110A还周期性地发送健康信息H至对应的监测器115A。当控制器110A发生故障,就会终止发送健康信息H至控制器115A。这使得监测器115A发送故障指示符F至安全周边设备120A。当发生故障的控制器110A随后发送作为MAC请求的密钥索引k1和数据D至安全周边设备120A,已经被监测器115A通知故障的安全周边设备120A发送MACC1’。根据一个示例性实施例,MAC C1’为故障MAC C1,不同于应基于密钥索引k1生成的MACC1。根据另一个示例性实施例,MAC C1’不仅与应基于密钥索引k1生成的MAC C1不同,还是特定的预设安全模式MAC。控制器110A发送数据D和MAC C1’至控制器110X。
基于对具有数据D和MAC C1’的信息的接收,控制器110X发送密钥索引k2和数据D至安全周边设备120X并接收为来自控制器110A的预期代码的MAC C2。如图3所示,控制器110X比较接收的MAC C1’和MAC C2。根据一个其中MAC C1’为故障MAC的示例性实施例,控制器110X可停止使用来自控制器110A的数据D。根据一个其中MAC C1’不仅为故障MAC(即,与MAC C1不同)还为特定的安全模式MAC的另外的或者作为选择的实施例,控制器110X发送具有数据D的安全模式密钥索引k2’至安全周边设备120X并接收安全模式MAC C2’。如果控制器110X确认MAC C1’和MAC C2’相同,则确认控制器110A发生故障。基于此确认,控制器110X可执行额外的动作,例如,传输错误代码至中央服务器。
多控制器系统(例如,车辆100)可通过使得控制器110之间的故障识别相比于(例如)简单地停止通信更加清晰来得到改善。此外,涉及使用安全模式MAC的实施例使得故障控制器110的诊断的修复更快。通过确定不使用故障控制器110产生的数据,系统安全得以维持。在所述系统为车辆100(例如,汽车101)的情况下,本文详细描述的实施例确保了受控于控制器110之间的数据通信的车辆运行(例如,安全系统,如碰撞避免、自动操作)不会受故障数据连累。
当结合示例性实施例对本发明进行详细描述时,本领域的技术人员应当明白,不同变化的做出以及等同物的替换不会偏离本发明的范畴。此外,可做出许多修改以使得特定的设定和材料适应本发明的教示,而不会偏离本发明的基本范畴。因此,本文并不旨在将本发明限制在所公开的具体实施例上,相反本发明可包括落入本发明范畴的所有实施例。

Claims (10)

1.一种使用信息验证码(MAC)在多控制器系统中提供控制器故障通知的方法,所述方法包括:
在第一安全周边设备,从监测多控制器系统的控制器中的第一控制器的监测器接收故障通知,其中所述故障通知指示了第一控制器发生故障;
在所述第一安全周边设备,从所述第一控制器处接收作为第一正确MAC的请求的密钥索引;
基于所述故障通知从所述第一安全周边设备向所述第一控制器提供故障MAC,其中所述故障MAC与来自第一控制器的密钥索引所指示的第一正确MAC不同;
在多控制器系统的控制器中的第二控制器,从所述第一控制器接收信息,其中所述信息包括所述故障MAC;
在所述第二控制器,基于与所述第二控制器所期望的第一正确MAC不匹配的故障MAC确定来自第一控制器的信息不能被信任。
2.根据权利要求1所述的方法,还包括:在接收来自故障控制器的信息后,通过第二控制器从第二安全周边设备请求第二正确MAC,其中所述第二正确MAC为与所述第一正确MAC相同的MAC。
3.根据权利要求2所述的方法,还包括:在第二控制器从所述第二安全周边设备获取第二正确MAC;以及在所述第二控制器,将来自所述第一控制器的信息中的故障MAC与所述第二正确MAC相比较。
4.根据权利要求1所述的方法,还包括:在确认来自所述第一控制器的信息不能被信任后,通过所述第二控制器从第二安全周边设备请求安全模式MAC;在所述第二控制器从第二安全周边设备接收安全模式MAC;在所述第二控制器将来自第一控制器的信息中的故障MAC与所述安全模式MAC相比较;以及所述第二控制器基于与所述安全模式MAC匹配的故障MAC发布故障码至中央控制器,以通知所述中央控制器所述第一控制器发生故障。
5.根据权利要求1所述的方法,还包括:所述第一控制器在其发生故障前发布常规健康信息至监测器;以及所述监测器在所述第一控制器停止发布常规健康信息至所述监测器后发布故障通知至所述第一安全周边设备。
6.一种多控制器系统,所述系统包括:
所述多控制器系统的控制器中的第一控制器;
监测器,配置为:从所述第一控制器接收常规健康信息并在所述第一控制器停止发布常规健康信息至所述监测器后发布故障通知;
第一安全周边设备,配置为:从所述监测器接收故障通知,其中所述故障通知指示第一控制器发生故障;从第一控制器接收作为请求第一正确MAC的密钥索引;以及基于所述故障通知提供故障MAC至第一控制器,其中所述故障MAC与第一控制器请求的第一正确MAC不同;以及
所述多控制器系统的控制器中的第二控制器,配置为:从所述第一控制器接收信息,其中所述信息包括所述故障MAC;以及基于所述故障MAC与第二控制器期望的第一正确MAC不匹配确定来自第一控制器的信息不能被信任。
7.根据权利要求6所述的多控制器系统,进一步包括第二安全周边设备,其中所述第二控制器配置为在从所述故障控制器接收信息后从所述第二安全周边设备请求第二正确MAC,其中所述第二正确MAC为与所述第一正确MAC相同的MAC。
8.根据权利要求7所述的多控制器系统,其中,所述第二控制器从第二安全周边设备接收第二正确MAC,以及所述第二控制器进一步配置为将来自第一控制器的信息中的故障MAC与第二正确MAC相比较。
9.根据权利要求6所述的多控制器系统,其中,所述第二控制器进一步配置为在确定来自第一控制器的信息不能被信任后从第二安全周边设备请求安全模式MAC,所述第二控制器从第二安全周边设备接收安全模式MAC,所述第二控制器进一步配置为将来自第一控制器的信息中的故障MAC与安全模式MAC相比较,所述第二控制器进一步配置为基于与所述安全模式MAC相匹配的故障MAC发布故障码至中央控制器,以通知所述中央控制器所述第一控制器发生故障。
10.根据权利要求6所述的多控制器系统,其中所述多控制器系统为车辆的一部分,以及所述车辆的一个或者多个操作基于所述多控制器系统的控制器之间的通信受到控制。
CN201910424804.7A 2018-10-23 2019-05-21 使用信息验证码的控制器故障通知 Active CN111090270B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/168,121 US10802902B2 (en) 2018-10-23 2018-10-23 Notification of controller fault using message authentication code
US16/168,121 2018-10-23

Publications (2)

Publication Number Publication Date
CN111090270A CN111090270A (zh) 2020-05-01
CN111090270B true CN111090270B (zh) 2023-02-03

Family

ID=70280787

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910424804.7A Active CN111090270B (zh) 2018-10-23 2019-05-21 使用信息验证码的控制器故障通知

Country Status (3)

Country Link
US (1) US10802902B2 (zh)
CN (1) CN111090270B (zh)
DE (1) DE102019114779A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118457270A (zh) * 2024-07-09 2024-08-09 比亚迪股份有限公司 控制器、设备控制方法、介质、产品及车辆

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11215150A (ja) * 1998-01-28 1999-08-06 Fujitsu Ltd センター装置の切替え方法及び、これを用いたケーブルモデムシステム
WO2005010477A1 (en) * 2003-07-25 2005-02-03 Toyota Jidosha Kabushiki Kaisha Vehicular diagnostic method, vehicular diagnostic system, vehicle and center
CN104149716A (zh) * 2013-04-26 2014-11-19 福特全球技术公司 在线车辆诊断系统
CN108156231A (zh) * 2017-12-21 2018-06-12 北京摩拜科技有限公司 故障车辆与服务器通信的方法、车辆和服务器

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6064297A (en) * 1997-06-12 2000-05-16 Microsoft Corporation Message authentication and key synchronization in home control systems
US6690289B1 (en) * 1997-06-12 2004-02-10 Microsoft Corporation Message formatting, authentication, and error detection in home control systems
US7428751B2 (en) * 2002-12-05 2008-09-23 Microsoft Corporation Secure recovery in a serverless distributed file system
US20080162984A1 (en) * 2006-12-28 2008-07-03 Network Appliance, Inc. Method and apparatus for hardware assisted takeover
DE602008005611D1 (de) * 2007-08-16 2011-04-28 Nxp Bv System und verfahren zur bereitstellung von fehlerdetektionsfähigkeit
US9280653B2 (en) * 2011-10-28 2016-03-08 GM Global Technology Operations LLC Security access method for automotive electronic control units
DE102014001270A1 (de) * 2014-01-31 2015-08-06 Infineon Technologies Ag Verfahren und System zur Berechnung von Codewörtern für geschützte Datenübertragungen
EP3128699B1 (en) * 2014-04-03 2021-04-28 Panasonic Intellectual Property Corporation of America Network communication system, fraud detection electronic control unit and fraud handling method
US9438581B2 (en) * 2014-04-15 2016-09-06 GM Global Technology Operations LLC Authenticating data at a microcontroller using message authentication codes
US9705678B1 (en) * 2014-04-17 2017-07-11 Symantec Corporation Fast CAN message authentication for vehicular systems
JP6407981B2 (ja) * 2014-05-08 2018-10-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム、電子制御ユニット及び不正対処方法
CN111478836B (zh) * 2014-07-10 2024-02-20 松下电器(美国)知识产权公司 车载网络系统、电子控制单元、接收方法以及发送方法
US20160026787A1 (en) * 2014-07-25 2016-01-28 GM Global Technology Operations LLC Authenticating messages sent over a vehicle bus that include message authentication codes
US10211990B2 (en) * 2014-07-25 2019-02-19 GM Global Technology Operations LLC Authenticating messages sent over a vehicle bus that include message authentication codes
KR101831134B1 (ko) * 2016-05-17 2018-02-26 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
FR3071121B1 (fr) * 2017-09-14 2020-09-18 Commissariat Energie Atomique Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur
US10791125B2 (en) * 2018-01-03 2020-09-29 Ford Global Technologies, Llc End-to-end controller protection and message authentication
JP7119437B2 (ja) * 2018-03-09 2022-08-17 株式会社デンソー 車両用マスタ電子制御装置、車両用スレーブ電子制御装置、車両用ログ収集システム及び車両用ログ収集プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11215150A (ja) * 1998-01-28 1999-08-06 Fujitsu Ltd センター装置の切替え方法及び、これを用いたケーブルモデムシステム
WO2005010477A1 (en) * 2003-07-25 2005-02-03 Toyota Jidosha Kabushiki Kaisha Vehicular diagnostic method, vehicular diagnostic system, vehicle and center
CN104149716A (zh) * 2013-04-26 2014-11-19 福特全球技术公司 在线车辆诊断系统
CN108156231A (zh) * 2017-12-21 2018-06-12 北京摩拜科技有限公司 故障车辆与服务器通信的方法、车辆和服务器

Also Published As

Publication number Publication date
US20200125440A1 (en) 2020-04-23
CN111090270A (zh) 2020-05-01
US10802902B2 (en) 2020-10-13
DE102019114779A1 (de) 2020-04-23

Similar Documents

Publication Publication Date Title
US10268557B2 (en) Network monitoring device, network system, and computer program product
CN107531250B (zh) 车辆安全电子控制系统
JP7250411B2 (ja) モータ車両運転者支援システムに関する方法
US10723361B2 (en) Monitoring apparatus, communication system, vehicle, monitoring method, and non-transitory storage medium
US7305587B2 (en) Electronic control unit for monitoring a microcomputer
CN111133289A (zh) 车辆诊断装置、车辆诊断系统以及车辆诊断程序
US20180321929A1 (en) Method and system for software installation in a vehicle
CN109005148B (zh) 用于保护车辆网络免受被篡改的数据传输的方法
CN111090270B (zh) 使用信息验证码的控制器故障通知
JP2023115229A (ja) モビリティ制御システム、方法、および、プログラム
CN110471790B (zh) 计算机设备、产品及其数据任务的处理方法和装置
EP2680148B1 (en) Information processing system, output control device, and data generating device
US20180152315A1 (en) Communication system
US20230052852A1 (en) Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle
CN108632242B (zh) 通信装置及接收装置
CN112105996A (zh) 用于重置设备的方法以及设备和控制单元
US20160011932A1 (en) Method for Monitoring Software in a Road Vehicle
US20240036878A1 (en) Method for booting an electronic control unit
US12099828B2 (en) Method for ascertaining a drive clearance after a software update for a set of controllers of a vehicle, computer-readable medium, system, and vehicle
CN117044164A (zh) 用于通过车辆的第二控制器识别车辆的被操纵的控制器的不允许的消息的方法、计算机可读介质、系统和车辆
CN116982291A (zh) 用于通过车辆的总线系统的第二控制装置识别车辆的总线系统的受操纵的控制装置的方法、计算机可读的介质、系统和车辆
CN111226214A (zh) 用于确认密码密钥的系统和方法
JP2020204862A (ja) 車載制御装置
JP2017079029A (ja) 電子制御装置および電子制御装置のための制御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant