CN112347021A - 用于串行通信装置的安全模块 - Google Patents
用于串行通信装置的安全模块 Download PDFInfo
- Publication number
- CN112347021A CN112347021A CN202010739897.5A CN202010739897A CN112347021A CN 112347021 A CN112347021 A CN 112347021A CN 202010739897 A CN202010739897 A CN 202010739897A CN 112347021 A CN112347021 A CN 112347021A
- Authority
- CN
- China
- Prior art keywords
- bus
- identifier
- node
- error
- serial communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 95
- 238000000034 method Methods 0.000 claims description 14
- 230000000246 remedial effect Effects 0.000 description 6
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0056—Systems characterized by the type of code used
- H04L1/0061—Error detection codes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
- G06F11/1004—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0072—Error control for data other than payload data, e.g. control data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
一种用于串行通信装置的安全模块(434)。所述安全模块(434)包括:用于接收来自串行通信总线(404)的数据的接收数据RXD输入接口(436);以及用于向所述串行通信总线(404)传输数据的传输数据TXD输出接口(438)。所述安全模块(434)被配置成:通过所述RXD输入接口(436)接收来自所述串行通信总线(404)的消息(540);将所述消息(540)与一个或多个错误条件进行比较;以及一旦检测到已经违反错误条件,通过所述TXD输出接口(438)向所述串行通信总线(404)输出错误信号(543),其中所述错误信号(543)标识与所述错误条件相关的一个或多个参数。
Description
技术领域
本公开涉及一种例如在控制器局域网中用于串行通信装置的安全模块。
背景技术
串行通信网络的一个例子是控制器局域网(CAN),CAN为通常在汽车内使用的基于消息的通信总线协议。CAN总线协议用于实现各种电子控制单元(ECU)之间的通信,例如发动机控制模块(ECM)、传动系控制模块(PCM)、安全气囊、防震刹车、定速巡航、电动转向、音频系统、车窗、车门、后视镜调整、用于混合动力/电动汽车的电池和再充电系统等等。CAN协议的数据链路层以国际标准组织(ISO)11898-1标准化。还扩展了标准化的CAN数据链路层协议以提供更高的数据速率。被称作CAN灵活数据速率或“CAN FD”的扩展协议是标准的ISO11898-1:2015版本的一部分。被称为CAN XL的下一代CAN协议还在开发中。
其它类型的串行通信网络是已知的,且包括例如局部互连网络(LIN)。
发明内容
根据本公开的第一方面,提供一种用于串行通信装置的安全模块,所述安全模块包括:
用于接收来自串行通信总线的数据的接收数据RXD输入接口;
用于向所述串行通信总线传输数据的传输数据TXD输出接口;
其中所述安全模块被配置成:
通过所述RXD输入接口接收来自所述串行通信总线的消息;
将所述消息与一个或多个条件比较;并且
一旦检测到已经违反条件,通过所述TXD输出接口向所述串行通信总线输出错误信号,其中所述错误信号标识与所述条件相关的一个或多个参数。
提供此类错误信号能够将关于所述条件的更详细信息传送到总线上的节点,从而使得可以采取适用于已经违反的特定条件的补救措施。
在一个或多个实施例中,所述与所述条件相关的一个或多个参数能采用至少三个不同值中的一个。
在一个或多个实施例中,所述错误信号包括已经违反的一个或多个条件的错误标识符。
在一个或多个实施例中,所述安全模块与串行通信节点相关联。所述错误信号可包括所述串行通信节点的节点标识符。
在一个或多个实施例中,所述错误信号包括所述安全模块的安全模块标识符。
在一个或多个实施例中,所述安全模块被配置成:
将(i)通过所述TXD输出接口输出到所述串行通信总线的错误信号与(ii)通过所述RXD输入接口接收到的总线错误信号进行比较;并且
通过所述TXD输出接口向所述串行通信总线输出错误检验信号,其中所述错误检验信号指示所述错误信号与所述总线错误信号之间是否存在差异。
在一个或多个实施例中,所述安全模块被配置成:
将(i)通过所述TXD输出接口输出到所述串行通信总线的错误信号的特定位位置的值与(ii)通过所述RXD输入接口接收到的总线错误信号的相同位位置的值进行比较;并且
通过所述TXD输出接口向所述串行通信总线输出错误检验信号,其中所述错误检验信号指示所述错误信号在所述特定位位置的值与所述总线错误信号在所述特定位位置的值之间是否存在差异。
在一个或多个实施例中,如果所述错误信号与所述总线错误信号之间存在差异,则所述错误检验信号包括一个或多个显性位。
所述错误信号可包括:与所述条件相关的第一标识符;以及与所述条件相关的第二标识符;所述总线错误信号可包括:与所述条件相关的总线第一标识符;以及与所述条件相关的总线第二标识符。所述错误检验信号可包括:第一错误检验信号,所述第一错误检验信号指示(i)所述错误信号的所述第一标识符与(ii)所述总线错误信号的所述总线第一标识符之间是否存在差异;和/或第二错误检验信号,所述第二错误检验信号指示(i)所述错误信号的所述第二标识符与(ii)所述总线错误信号的所述总线第二标识符之间是否存在差异。
所述安全模块可与串行通信节点相关联。所述第一标识符可包括所述串行通信节点的节点标识符。所述总线第一标识符可包括一个或多个串行通信节点的总线节点标识符。所述第二标识符可包括已经违反的一个或多个条件的错误标识符。所述总线第二标识符可包括已经违反的一个或多个条件的总线错误标识符。
在一个或多个实施例中,所述错误信号包括多个位位置。所述位位置中的每一个可唯一地标识特定条件或特定节点标识符。
在一个或多个实施例中,所述安全模块与串行通信节点相关联。所述错误信号可包括所述串行通信节点的节点标识符。所述节点标识符可包括多个位位置。所述节点标识符的所述位位置中的每一个可唯一地标识特定节点。所述错误信号可包括已经违反的一个或多个条件的错误标识符。所述错误标识符可包括多个位位置。所述错误标识符的所述位位置中的每一个可唯一地标识特定条件。
在一个或多个实施例中,所述错误信号包括多个位位置。所述错误信号可包括在预定位位置处的显性位值。
在一个或多个实施例中,所述预定位位置为第一位位置。
在一个或多个实施例中,所述串行通信装置在CAN XL节点中。所述串行通信总线可以是CAN XL总线。
根据本发明的另一方面,提供一种向串行通信总线输出错误信号的方法,所述方法包括:
接收来自所述串行通信总线的消息;
将所述消息与一个或多个条件进行比较;并且
一旦检测到已经违反条件,向所述串行通信总线输出错误信号,其中所述错误信号标识与所述条件相关的一个或多个参数。
虽然本公开容许各种修改和替代形式,但是已经借助于例子在图式中示出其细节且将进行详细描述。然而,应理解,除所描述的特定实施例之外的其它实施例也是可能的。也涵盖属于所附权利要求书的精神和范围的所有修改、等效物和替代实施例。
以上论述并非旨在表示当前或未来权利要求集的范围内的每个示例实施例或每个实施方案。以下图式和具体实施方式也举例说明了各种示例实施例。考虑到结合附图的以下具体实施方式可以更全面地理解各个示例实施例。
附图说明
现将参考附图仅借助于例子描述一个或多个实施例,在附图中:
图1示出了CAN网络;
图2示出了CAN节点的放大图;
图3示出了呈基础帧格式的经典CAN帧和CAN-FD帧;
图4A示出了根据本公开的实施例的包括安全模块的CAN节点;
图4B示出了根据本公开的实施例的包括另一安全模块的CAN节点;
图5示出了根据本公开的实施例的可以置于串行通信总线上的数据的第一例子;
图6示出了根据本公开的实施例的可以置于串行通信总线上的数据的第二例子;
图7示出了根据本公开的实施例的可以置于串行通信总线上的数据的第三例子;
图8示出了根据本公开的实施例的可以置于串行通信总线上的数据的第四例子;
图9示出了根据本公开的实施例的可以置于串行通信总线上的数据的第五例子;并且
图10示出了根据本公开的实施例的示例方法。
具体实施方式
图1描绘了包括各自连接到CAN总线104的多个CAN节点(也被称作ECU)102的CAN网络100。在图1的实施例中,每个CAN节点102包括CAN收发器120、具有嵌入式CAN协议控制器114的本地控制器110或微控制器。本地控制器110通常连接到至少一个装置(未示出),例如传感器、致动器或一些其它控制装置,且所述本地控制器被编程以确定接收到的消息的含义且产生适当的传出消息。本地控制器还可被称作主机处理器、主机或数字信号处理器(DSP)。在一些例子中,主机支持与CAN协议控制器114交互的应用程序软件。
可以嵌入本地控制器110内或外接到本地控制器(例如,单独的IC装置)的CAN协议控制器114实施数据链路层操作。例如,在接收操作中,CAN协议控制器114存储从收发器120接收到的串行位,直到本地控制器110可获取全部消息为止。CAN协议控制器114还可以根据CAN协议的标准化帧格式对CAN消息进行解码。在传输操作中,CAN协议控制器114接收来自本地控制器的消息,并以CAN帧格式之一将消息作为串行位传输到CAN收发器120。
CAN收发器120位于CAN协议控制器114与CAN总线104之间并且实施物理层操作。例如,在接收操作中,CAN收发器120将来自CAN总线的模拟差分信号转换成CAN协议控制器114可以解译的串行数字信号。CAN收发器还保护CAN协议控制器114免受CAN总线104上极端电气条件(例如,电涌)的干扰。在传输操作中,CAN收发器120将从CAN协议控制器114接收到的串行数字位转换成在CAN总线104上发送的模拟差分信号。
CAN总线104承载模拟差分信号且包括CAN高(CANH)总线线路124和CAN低(CANL)总线线路126。
图2描绘了一个CAN节点202的放大图。也在图1中示出的图2的特征已经用200序列给出了相应的附图标记,此处不必再次描述。
本地控制器210包括主机216,所述主机216可以是例如存储在本地控制器210的存储器中并由本地控制器210的处理电路执行的软件应用程序。CAN节点202的本地控制器210和CAN收发器220连接在供电电压Vcc和接地GND之间。在一些例子中,本地控制器210和CAN收发器220可具有不同的供电电压。如图2中所示,从本地控制器210传送到CAN收发器220的数据被标识为传输数据(TXD),并且从CAN收发器220传送到本地控制器210的数据被称作接收数据(RXD)。数据分别通过CANH和CANL总线线路224和226传送到CAN总线和从CAN总线传送。
图3描绘了在CAN正常模式中使用的ISO 11898-1帧330的格式(为经典的基础帧格式(CBFF)或标准格式),以及在CAN FD模式中使用的ISO/DIS 11898-1帧332的格式(为FD基础帧格式或FBFF)。CAN正常模式和CAN FD模式帧的字段定义如下:
SOF:起始帧(始终为显性的)
IDENTIFIER:标识符位,定义消息内容
RTR:远程传输请求
IDE:ID扩展
r0:保留位0(由FDF替换为CAN FD格式)
FDF:FD格式(是区分帧格式的位)
BRS:波特率开关
ESI:错误状态指示符
DLC:数据长度码
Data:数据字节
CRC:循环冗余校验
CRC Del:CRC界定符(始终为隐性的)
ACK:应答
ACK Del:应答界定符
EOF:帧结束
经典帧格式还有另一版本,被称作“经典扩展帧格式(CEFF)”,其中FDF位处于旧r1位置,而FDF位处于CBFF中的r0位置。还有“FD扩展帧格式(FEFF)”,其中“扩展”指的是29位标识符。值得注意的是,CAN协议使用CAN帧内的保留位(r0或r1)(还通常被称作FDF位)来将帧标识为CAN FD模式帧。具体地,FDF位为指示帧是CAN正常模式帧还是CAN FD模式帧的1位字段。当FDF位为显性(例如,低位或“0”)时,帧为CAN正常模式帧,且当FDF位为隐性(例如,高位或“1”)时,帧为CAN FD模式帧。在CAN正常模式帧中,保留位(r0,r1)总是被驱动成相对于总线线路呈显性。
CAN消息是广播消息并且标识符对于发送器CAN节点是唯一的。接收CAN节点的CAN协议控制器具有标识符过滤器,所述标识符过滤器被“调谐”到某些标识符以确保主机接收到相关消息且不受无关消息的干扰。标准CAN帧具有11位IDENTIFIER字段以承载11位标识符,且扩展CAN帧具有29位IDENTIFIER字段以承载29位标识符。将29位IDENTIFIER字段分成两部分,即,11位基础IDENTIFIER字段和18位扩展IDENTIFIER字段。
在经典的CAN和CAN FD中,如果帧结束字段中有至少一个显性位,则消息的所有接收器将丢弃所述消息。这允许在解码期间出现错误的接收器用信号表示其无法解码,且迫使传输器重复所述消息。此外,消息已被欺骗的收发器使用此机制以及其它网络安全机制来使违反用户定义策略的消息失效。
在如CAN XL的一些更新的协议开发中,还未预见到消息会失效,因此不会出现任何自动重复。如果需要重复,可能需要在较高协议层上处理,因为在所述协议层上可能无法处理。
图4A描绘了根据本公开的实施例的包括安全模块434的CAN节点402。在此实施例中,向CAN收发器420和CAN本地控制器410分别提供安全模块460。安全模块460位于CAN收发器420与CAN本地控制器410之间的数据路径中。
图4B描绘了根据本公开的另一实施例的包括安全模块460的CAN节点402。在此实施例中,提供安全模块460作为CAN本地控制器410的一部分。例如,安全模块460的功能可以由CAN协议控制器提供。
在另外的实施例中,安全模块460的功能可以由CAN收发器420提供。这可以更进一步地提高网络的安全性。
CAN节点402包括如上文参考图1和图2所描述的CAN收发器420和本地CAN控制器410。CAN收发器420连接到CAN总线404。
CAN总线404是串行通信总线的例子,CAN节点402是串行通信装置/节点的例子,且CAN收发器420是串行通信收发器的例子。应了解,本文中所公开的例子可以涉及经典的CAN节点、CAN FD节点、CAN XL节点,或现在或将来符合相关联的CAN标准的任何其它CAN节点。还应了解,本文所描述的安全模块的实施例不限于CAN协议,因为它们可以与其它串行通信协议/例如LIN的网络一起使用。
在此例子中,安全模块434被示为与CAN收发器420和本地控制器410分开。应了解,在其它例子中,安全模块434的功能可以由CAN收发器420和/或本地控制器410提供。
安全模块434包括接收数据RXD输入接口436,用于接收来自CAN总线404的数据。安全模块434还包括传输数据TXD输出接口438,用于向CAN总线404传输数据。安全模块434可以通过RXD输入接口436接收来自CAN总线404的消息,且将所述消息与一个或多个条件进行比较。作为非限制性例子,条件可以包括一个或多个格式错误、填充错误和违反策略。例如,如果安全模块确定CAN消息正被欺骗,则可能违反策略。本领域中已知各种类型的格式错误和填充错误。
如果安全模块434检测到已经违反条件,其可通过TXD输出接口438向CAN总线404输出错误信号。以此方式,安全模块434可以执行以下各项中的一个或多个:标识格式错误和/或填充错误;并且确定已违反策略。
错误信号标识与条件相关的一个或多个参数。也就是说,错误信号包括关于错误信号的信息,因而错误信号并非单纯是仅指示是否已违反条件的二进制标志。在例如CAN的串行通信协议中包括此类错误信息违背本领域中的教示。这是因为已知的串行通信协议不允许在串行通信总线上包括此类信息。因此,任何违背现有技术中这些教示的尝试都将导致无法符合协议的规则。
借助于例子,在当前的CAN和CAN FD协议中,在接收EOF字段中信息的第一显性位后立即对错误标志作出反应的其它节点会使此类信息失效。在其它串行通信协议中还已知简单的应答信令和“否定应答”(n-ack)。发送与从较低OSI层触发而不涉及较高(软件)层的否定应答的原因有关的信息从安全角度看具有优势,因为较低(硬件)层不会受到入侵。另外,合法发送器节点能够瞬时用信号表示其接收到的信息(与否定应答相关联)是否因违反策略而已被修改/欺骗也是有利的。
本文所描述的一个或多个例子相比于需要协议的较低层和较高层交互的解决方案可能更有利;在需要协议的较低层和较高层交互的解决方案中,较低层向较高层报告发生n-ack的原因,较高层随后又可触发下一个传递所述信息的消息。这将需要更多带宽,并且增加事件发生之后的反应时间。
本公开的错误信号可以包括已经违反的一个或多个条件的错误标识符。以此方式,参数的例子是产生错误信号的原因。替代地或另外地,错误信号可以包括已检测到已经违反一个或多个条件的安全模块的安全模块标识符。在一些例子中,标识符可以是安全模块434所相关联的CAN节点420的节点标识符。以此方式,参数的另一例子是错误信号的始发站。在一些例子中,这些参数中的任何参数都可以采用至少三个不同值中的一个,即,它们不仅仅是二进制标志。如下文将详细地论述,这可以通过使用包括多个位位置的数字错误信号来实现。
在一些例子中,如下文将描述的,安全模块434可以将错误检验信号输出到CAN总线404上,所述错误检验信号可以是帧结束时(例如,在错误信号之后)的位字段。错误检验信号可以指示CAN总线404上的总线错误信号的真实性。如下文将详细描述的,总线错误信号是已经由单独的CAN节点置于CAN总线404上的所有错误信号的组合。由于来自一个节点的错误信号可以覆写来自另一节点的错误信号中的一些或全部,因此错误检验信号可以有利地提供关于是否已发生对原始错误信号的任何此类覆写(或其它操作)的指示符。
以下例子涉及一种串行通信协议,其中与节点相关联的安全模块可以在RXD输入接口接收来自串行通信总线的数据,并且可以通过TXD输出接口向串行通信总线传输数据。串行通信总线上的消息具有帧结束字段。在EOF字段中,位时序可以是仲裁相位的位时序。物理层的行为与仲裁阶段相同;因此显性位(“0”)覆写隐性位(“1”)。此信息可以由多个节点发送。用户可以定义信息和其用途。重要的是,可以在数据链路层丢弃消息,并且可以将信息传递给较高协议层。
第一例子-图5
图5示出了节点发送到串行通信总线上的数据539。数据539包括含消息位“x”的消息540和具有隐性位“e”的EOF(帧结束字段)。在此例子中,隐性位为1。
图5还示出了由节点5置于串行通信总线上的数据541,所述节点5是与发送消息540的节点不同的节点。节点5具有安全模块,所述安全模块已经将接收到的消息540与一个或多个条件(在此示例中为安全策略)进行比较,并且已检测到已经违反安全策略。在此例子中,节点5已确定已经违反第7个安全策略。也就是说,接收到的消息540并不符合第7个策略。第7个策略可针对节点5,或可以是适用于多个节点(可能是所有节点)的通用策略。因此,节点5向串行通信总线输出错误信号543。
错误信号543包括与检测到条件的串行通信节点相关联的错误标识符544。在此例子中,节点标识符544为节点5的二进制表示;即,节点5的标识号。以此方式,检测到违反错误信号的节点(或安全模块)的标识符是与错误相关的参数的例子。
错误信号543还包括与已经违规的条件相关联的错误标识符545。在此例子中,已经违反第7个条件,并且错误标识符545为第7个条件的二进制表示。以此方式,已经违反的条件的标识符是与条件相关的参数的例子。
节点5还向总线提供可选的错误检验信号546,这将参考后面的例子更详细地论述。在错误检验信号546之后,节点5将隐性位1置于总线上以指示它准备好接收或发送新消息。
图5示出了串行通信总线上产生的数据542,其包括总线错误信号555。总线错误信号555包括总线节点标识符552和总线错误标识符553。在此例子中,所述数据是消息540、错误信号543和错误检验信号546的组合。
通过获取串行通信总线上的数据542,所有节点可以确定:
a)因为EOF中存在显性位,所以必须丢弃消息;
b)节点5请求丢弃(由于总线节点标识符552的值);
c)丢弃的原因是第7个(由于总线错误标识符553的值);
第二例子-图6
图6示出了节点发送到串行通信总线上的数据639。以和图5相同的方式,数据639包括消息640。
图6还示出了由节点5置于串行通信总线上的数据641。节点5以与图5相同的方式向串行通信总线输出错误信号643。也就是说,节点5已再次确定已经违反第7个条件。错误信号包括节点标识符644和错误标识符645。
图6还示出了由节点3置于串行通信总线上的数据647,所述节点3又是与发送消息640的节点不同的节点。节点3具有安全模块,所述安全模块已经将接收到的消息640与一个或多个条件进行比较,并且也已经检测到已经违反第7个条件。因此,节点3向串行通信总线输出错误信号648。错误信号648包括将节点3标识为检测到条件的节点的节点标识符649,并且还包括与第7个条件相关联的错误标识符650。
图6示出了串行通信总线上产生的数据642。在此例子中,所述数据是消息640、由节点5提供的错误信号643以及由节点3提供的错误信号648的组合。回顾在此例子的协议中,0比1占优势,且因此对于由节点3和节点5提供不同位值的两个错误信号中的位位置,0的显性值将出现在总线上。
在此例子中,节点5的节点标识符644的第二位置和第三位置与节点3的节点标识符649的第二位置和第三位置不同。当在总线上组合这些节点标识符时,产生0001的总线节点标识符652,其是十进制1的二进制表示。因此,总线节点标识符652没有正确地反映哪些节点已经检测到错误。
在此例子中,节点3和节点5都已经检测到相同的错误。因此,由节点5提供的错误标识符645与由节点3提供的错误标识符653相同。当在总线上组合这些错误标识符时,产生正确地反映已经违反的条件的总线错误标识符653。
总线节点标识符652和总线错误标识符653可以一起被称作总线错误信号655。
节点5还向总线提供错误检验信号646。类似地,节点3向总线提供错误检验信号651。如将论述,与每个节点相关联的安全模块设置其错误检验信号646、651,以指示总线上的总线错误信号655是否正确地反映在本地产生的错误信号643、648。
与节点5相关联的安全模块可以将(i)通过其TXD输出接口输出到总线的错误信号643与(ii)通过其RXD输入接口接收的总线错误信号655进行比较。安全模块可以随后通过TXD输出接口向总线输出错误检验信号646。错误检验信号646指示在本地产生的错误信号643与总线错误信号655之间是否存在差异。在此例子中,如果错误信号643与总线错误信号655之间存在差异,则错误检验信号646包括一个或多个显性位。
图6中的错误信号643、648标识与条件相关的第一参数和第二参数两者。第一参数为检测到违反错误的节点的标识符,且由节点标识符644、649表示。第二参数为已经违反的条件的标识符,且由错误标识符645、650表示。类似地,产生的总线错误信号655包括总线节点标识符652和总线错误标识符653。
与节点5相关联的安全模块可将在本地产生的节点标识符644与总线节点标识符652进行比较,且还可以将在本地产生的错误标识符645与总线错误标识符653单独进行比较。如下文将论述的,安全模块可以提供错误检验信号646中的这些单独比较的结果,从而使得它们可以(例如,通过在预定位位置处包括信息)彼此辨别。网络中的其它节点然后可以正确地解译这些位位置处的信息,因为它们也根据预定位位置进行编程。
更一般地说,错误检验信号646可以包括第一错误检验信号,其指示错误信号的第一标识符与总线错误信号的总线第一标识符之间是否存在差异。在此例子中,错误信号的第一标识符是节点标识符,总线第一标识符是总线节点标识符,并且第一错误检验信号被实施为错误检验信号646的第一位位置。类似地,错误检验信号646可以包括第二错误检验信号,其指示错误信号的第二标识符与总线错误信号的总线第二标识符之间是否存在差异。在此例子中,错误信号的第二标识符是错误标识符,总线第二标识符是总线错误标识符,并且第二错误检验信号被实施为错误检验信号646的第二位位置。
在图6的例子中,节点5确定在其本地产生的节点标识符644与总线节点标识符652之间存在差异,并因此将错误检验信号646的第一位值设置为显性0。节点5还确定在其本地产生的错误标识符645与总线错误标识符653相同,并因此将错误检验信号646的第二位值设置为隐性1。
节点3确定在其本地产生的节点标识符649与总线节点标识符652之间存在差异,并因此将错误检验信号651的第一位值设置为显性0。节点3还确定在其本地产生的错误标识符650与总线错误标识符653相同,并因此将错误检验信号651的第二位值设置为隐性1。
当在总线上组合两个错误检验信号646、651时,产生指示以下各项的总线错误检验信号654:总线节点标识符652并没有准确地反映哪个节点检测到违反条件;以及(ii)总线错误标识符653的确准确地反映已经违反的条件的标识。
通过获取串行通信总线上的数据642,所有节点可以确定:
a)因为EOF中存在显性位,所以必须丢弃消息;
b)未知节点请求丢弃(即使总线节点标识符652表明节点1检测到违反条件,但总线错误检验信号654的第一位为显性0的事实将导致节点忽略总线节点标识符652);
c)丢弃的原因是第7个(由于总线错误标识符653的值,并且由于错误检验信号的第二位是隐性1);并且
d)总线错误信号655中的部分信息发生改变(因为错误检验信号包括显性0)。
第三例子-图7
图7示出了节点发送到串行通信总线上的数据739。以和图6相同的方式,数据739包括消息740。
图7还示出了由节点5置于串行通信总线上的数据741。节点5输出与图6示出的错误信号相同的错误信号743。
图7还示出了由节点3置于串行通信总线上的数据747。节点3向串行通信总线输出错误信号748。错误信号748包括与图6中示出的节点标识符相同的节点标识符749,但也有不同的错误标识符750。在此例子中,错误标识符750与第1个条件相关联。
图7示出了串行通信总线上产生的数据742。在此例子中,节点5的错误标识符745的第二位置和第三位置与节点3的错误标识符750的第二位置和第三位置不同。当在总线上组合这些错误标识符745、750时,产生0001的总线错误标识符753,其是十进制1的二进制表示。因此,总线错误标识符753没有正确地反映已经违反的条件。
以与参考图6所描述的方式相同的方式,总线节点标识符752也没有正确地反映哪些节点已经检测到错误。
节点5向总线提供错误检验信号746。此错误检验信号746包括第一错误检验信号(在第一位位置处),所述第一错误检验信号指示在节点5本地产生的节点标识符744与总线节点标识符752之间存在差异。错误检验信号746还包括第二错误检验信号(在第二位位置处),所述第二错误检验信号指示在节点5本地产生的错误标识符745与总线错误标识符753之间存在差异。
节点3还向总线提供错误检验信号751。此错误检验信号751包括第一错误检验信号(在第一位位置),所述第一错误检验信号指示在节点3本地产生的节点标识符749与总线节点标识符752之间存在差异。错误检验信号751还包括第二错误检验信号(在第二位位置处),所述第二错误检验信号指示在节点3本地产生的错误标识符750与总线错误标识符753相同。
当在总线上组合两个错误检验信号746、751时,产生指示以下各项的总线错误检验信号754:总线节点标识符752并没有准确地反映哪个节点检测到违反条件;以及(ii)总线错误标识符753并没有准确地反映已经违反的条件的标识。
通过获取串行通信总线上的数据742,所有节点可以确定:
a)因为EOF中存在显性位,所以必须丢弃消息;
b)未知节点请求丢弃(因为总线错误检验信号754的第一位为显性0);
c)丢弃的原因未知(因为总线错误检验信号754的第二位是显性0);并且
d)总线错误信号755中的部分信息发生改变(因为错误检验信号包括显性0)。
第四例子-图8
图8示出了节点发送到串行通信总线上的数据839。以与先前图中相同的方式,数据839包括消息840。
图8还示出了由节点5置于串行通信总线上的数据841,以及由节点3置于串行通信总线上的数据847。在此例子中,节点3和5以与上文所描述的格式不同的格式将错误信号843、848置于总线上。如下文将论述,错误信号843、848包括多个位位置,且所述位位置中的每一个唯一地标识特定条件或特定节点标识符。在此例子中,存在与总线通信的六个节点和可以检测到的八个不同条件。
节点5的错误信号843包括节点标识符844。节点标识符844具有六个位位置,所述六个位位置各自唯一地标识特定节点。与任何一个节点相关联的安全模块可以仅将节点标识符844的位位置之一设置为显性0。例如,如果与第一节点相关联的安全模块检测到已经违反条件,则所述安全模块可以将节点标识符844的第一位位置设置为显性0,但所述安全模块无法设置节点标识符844的任何其它位位置。如果与第二节点相关联的安全模块检测到已经违反条件,则所述安全模块可以将节点标识符844的第二位位置设置为显性0,但所述安全模块无法设置节点标识符844的任何其它位位置。等等。
如图8中所示,节点标识符844的第五位位置已经被设置为显性0以指示节点5已经检测到错误。
节点5的错误信号843还包括错误标识符845。错误标识符845具有八个位位置,所述八个位位置各自唯一地标识可以检测到的特定条件。如果安全模块检测到违反相关联的条件,则所述安全模块可以将错误标识符845的位位置中的一个或多个设置为显性0。例如,如果安全模块检测到违反第一个条件,则所述安全模块将错误标识符845的第一位位置设置为显性0。如果安全模块检测到违反第二个条件,则所述安全模块将错误标识符845的第二位位置设置为显性0。等等。
如图8中所示,错误标识符845的第七位位置已经被设置为显性0以指示已经违反第7个条件。
节点3的错误信号848还包括节点标识符849和错误标识符850。如图8中所示,节点标识符849的第三位位置已经被设置为显性0以指示节点3已经检测到错误。错误标识符850的第一位位置已经被设置为显性0以指示已经违反第1个条件。
图8示出了串行通信总线上产生的数据842。在此例子中,当由节点5提供的错误信号843与由节点3提供的错误信号848组合时,所得的总线错误信号855保留哪些节点检测到错误和哪些错误被检测到的标识符。
节点中的一个或多个可以存储节点标识符中的位位置与相关联节点的标识符之间的相关性。在一些例子中,这可以使得节点能够采取针对检测到错误的节点的补救措施。节点中的一个或多个还可以存储错误标识符845中的位位置与相关联条件的标识符之间的相关性。在一些例子中,这可使得节点能够采取针对已经检测到的错误的补救措施。下文更详细地描述可以采取的补救措施的例子。
在此例子中,错误检验信号846、851的用法不同于先前例子中的用法。这是因为错误信号843、848的位位置唯一地标识特定错误条件或特定节点标识符。因此,在确定是否将错误检验信号846、851设置为1或0时,节点可以将(i)通过其TXD输出接口输出到总线的错误信号843、848的特定位位置的值与(ii)通过其RXD输入接口接收的总线错误信号855的相同位位置的值进行比较。
相对于节点5的错误信号843的节点标识符844,节点标识符844的第5位位置唯一地与节点5相关联。因此,没有其它节点能够在总线上设置错误信号855的总线节点标识符852的第5位位置。为了确定是否设置错误检验信号846的第一位,节点5将(i)节点标识符844的第5位位置的值与(ii)总线节点标识符852的第5位位置的值进行比较。如图8中所示,节点标识符844和总线节点标识符852两者的第5位位置都为0。因此,节点确定针对其在节点标识符844的唯一位位置而置于总线上的值准确地反映于总线节点标识符852中,并且所述节点将错误检验信号846的第一位设置为1。如果节点确定针对其在节点标识符844的唯一位位置而置于总线上的值没有准确地反映于总线节点标识符852中,则所述节点将错误检验信号846的第一位设置为0。
类似地,节点3确定其节点标识符849的第3位的值正确地匹配总线节点标识符852的第3位的值,且因此将其错误检验信号851的第一位设置为1。
如果任何节点检测到总线检验信号854的第一位位置中的显性0,则所述节点可以采取本文档其它地方描述的与错误检验信号中检测到显性0有关的任何措施。
任选地,当错误标识符845、850的每个位位置唯一地与仅单个节点可以检测到的错误条件相关联时,可以使用错误检验信号846、851、854的第二位位置。在此情况下,节点可以用与如上文所描述的设置第一位位置的方式类似的方式来设置错误检验信号846、851的第二位位置的值:将错误标识符的特定位位置的值与(ii)总线错误标识符的相同位位置的值进行比较。
在其它例子中,因为仍能从总线错误信号855辨别哪些节点检测到错误和哪些错误被检测到的标识符,可能不需要错误检验信号846、851、854。
通过获取串行通信总线上的数据842,所有节点可以确定:
a)因为EOF中存在显性位,所以必须丢弃消息;
b)节点3和节点5请求丢弃(总线节点标识符852中的显性位指示节点3和节点5);并且
c)丢弃的原因是第1个和第7个(总线错误标识符853中的显性位指示节点3和节点5)。
d)由节点置于总线上的信息没有丢失,也没有任何节点在未将错误信号置于总线上时被错误地标识为将错误信号置于总线上,因此当保留总线错误信号855中的相关显性位时不标记任何修改(总线错误信号的2个位是隐性1)。
任选地,总线错误检验信号854可以用于指示是否已对安全模块已发送的错误信号作出修改,所述错误信号可以用作指示超过一个节点正发送错误信号的标志。
第五例子-图9
图9为极类似于图8的例子。两个例子之间唯一的差异在于:在图9中,传输到总线上的错误信号943、948包括预定位位置956处的显性位值。在图9中,预定位位置956为第一位位置,且可以被视为表示错误标志。
错误标志并不标识检测到错误的节点,也不指示已经违反的条件。相反,错误标志可以被视为通知网络中的节点已经检测到错误,并且将收到有关与条件相关的一个或多个参数的另外的信息。
当错误信号中的位数较高时,使用此错误标志是有利的,且因此在最差的情况下,错误信号中的第一显性位可能出现在EOF字段结束之后。这时候,网络中的节点可能已经假设未检测到错误,且因此所述节点可能已经处理了消息940。错误标志可以包括在特定协议的EOF字段结束之前的任何预定位位置956处。当错误信号中还有后续显性位时,节点才将错误标志设置为显性值。
错误标志的另外的优势是其可以帮助确保总线上的发送器和接收器更好地同步。
对于本文中公开的任何例子,一旦检测到错误,安全模块或相关联的控制器可执行以下补救措施中的一个或多个:
1.如果安全模块与发送了引起错误的消息的节点相关联,则所述节点可能需要复位/重新启动以防止另外的违反。
2.记录已经检测到错误,且任选地存储与条件相关的一个或多个参数,例如,节点标识符/错误标识符。节点或网络运营商可获取记录的信息用于后续分析。
3.向网络运营商发出已经检测到错误的警报或显示错误。网络运营商可采取适当的另外的措施,例如关闭网络,从而实现网络中的一个或多个节点的安全模式。
4.检测到错误的安全模块或相关联的本地控制器可将其节点设为紧急模式或安全模式。这可包括禁用、限制或拒绝获取某些特征。
5.本地控制器可自动地向一个或多个其它节点或网络发送消息。消息可能会警示节点或网络注意检测到的错误和/或将一个或多个节点设成紧急模式。
如上文所指示,在一些例子中,处理器或模块可基于总线节点标识符和/或总线错误标识符(或更一般地说,总线错误信号)自动选择采取的补救措施。
本文中所描述的例子可以在用于迫使所有接收器丢弃消息的串行数据帧的结尾添加信令,由此这种丢弃信号的发送器可不同于串行数据帧的发送器。丢弃信号的发送器可以将丢弃消息的原因编码为丢弃信号,且可标记例如恶意节点对丢弃信号的修改。
图10示出了向串行通信总线输出错误信号的方法的示例实施例。如上文所论述,串行通信总线可以是或可以不是CAN XL总线。
在步骤1090,所述方法包括接收来自串行通信总线(404)的消息。总线上的任何节点都可以发送消息。所述方法可以涉及确定接收到的消息是否从本地主机发送。如果消息由本地主机/节点发送,则可应用与当消息由远程主机/节点接收时的情况不同的或另外的条件。例如,可仅检查一个或多个策略以查看具有本地主机/节点的标识符的远程接收到的消息是否已违反了这些策略。
在步骤1092,所述方法包括将消息与一个或多个条件进行比较。如上文所描述,此类条件可涉及填充错误、格式错误、入侵错误、调度错误、违反策略,或本领域中已知的任何其它类型的错误/策略。
一旦检测到已经违反条件,在步骤1094,所述方法包括向串行通信总线输出错误信号。如贯穿本文所描述的,错误信号标识与条件相关的一个或多个参数,所述参数可以包括已经检测到错误的节点的标识符和/或已经违反的条件的标识符。
本文公开的例子中的一个或多个可以提供通过网络或安全功能使帧/消息失效的机制,而在CAN XL中尚不存在这样的机制。并且,本文中所描述的例子可以提供用于标识哪个节点检测到错误和/或出于何种原因而使串行通信网络上的接收器和传输器丢弃消息的机制。
在某些应用中,可以提供/实现以下特征/结果中的一个或多个:
1.当接收到的帧结束字段(EOF)中的定义位为显性时,CAN XL节点可以丢弃CANXL消息。
2.接收CAN XL帧之后的EOF中的显性位的节点可能不会像在经典或CAN FD消息之后进行的那样发送响应式错误标志。
3.丢弃信号可以包括特定数目的位,其中对发送原因的信息(例如,发送器ID)进行编码。丢弃信号可以在EOF中定义的位位置处开始。
4.发送丢弃信号的节点可以附加若干位,当被编码的信息被原样读回时隐性发送所述位。如果读回的信息不同于发送的信息,可以显性发送附加位中的一个或多个。这是为了标记由恶意节点或发送丢弃信号的不同节点的覆盖引起的修改。
5.所有节点都可以读取EOF中的位,并将所述位提供给较高协议层。
除非明确陈述特定次序,否则以上图式中的指令和/或流程图步骤可以按任何次序执行。并且,本领域的技术人员将认识到,尽管已经论述一个示例指令集/方法,但本说明书中的材料还可以通过多种方式组合以产生其它例子,且应在由此具体实施方式提供的上下文内理解。
在一些示例实施例中,上文所描述的指令集/方法步骤实施为以可执行指令集体现的功能和软件指令,所述可执行指令集在计算机或以所述可执行指令编程和控制的机器上得以实现。此类指令被加载用于在处理器(例如一个或多个CPU)上执行。术语“处理器”包括微处理器、微控制器、处理器模块或子系统(包括一个或多个微处理器或微控制器),或其它控制或计算装置。处理器可指代单个组件或多个组件。
在其它例子中,本文示出的指令集/方法以及与其相关联的数据和指令存储在相应的存储装置中,所述存储装置被实施为一个或多个非暂时性机器或计算机可读或计算机可用存储介质。此类一个或多个计算机可读或计算机可用存储介质被视为物品(或制品)的一部分。物品或制品可指任何制造的单个组件或多个组件。如本文中所定义的一种或多种非暂时性机器或计算机可用介质不包括信号,但是此类一种或多种介质可能够接收并处理来自信号和/或其它暂时性介质的信息。
本说明书中论述的材料的示例实施例可整体或部分地通过网络、计算机或基于数据的装置和/或服务来实施。这些可包括云、互联网、内联网、移动装置、台式计算机、处理器、查找表、微控制器、消费型设备、基础架构,或其它启用装置和服务。如本文和权利要求书中可使用的,提供以下非排他性定义。
在一个例子中,本文中所论述的一个或多个指令或步骤是自动的。术语“自动的”或“自动地”(和其类似变型)意指使用计算机和/或机械/电气装置来控制设备、系统和/或过程的操作,而不需要人类干预、观测、努力和/或决策。
应了解,可直接或间接地耦合或连接据称待耦合的任何组件。在间接耦合的情况下,额外的组件可位于据称待耦合的两个组件之间。
在本说明书中,已经依据选定的细节集而呈现示例实施例。然而,本领域的普通技术人员将理解,可实践包括这些细节的不同选定集的许多其它示例实施例。所附权利要求书旨在涵盖所有可能的示例实施例。
Claims (10)
1.一种用于串行通信装置的安全模块(434),其特征在于,所述安全模块(434)包括:
用于接收来自串行通信总线(404)的数据的接收数据RXD输入接口(436);
用于向所述串行通信总线(404)传输数据的传输数据TXD输出接口(438);
其中所述安全模块(434)被配置成:
通过所述RXD输入接口(436)接收来自所述串行通信总线(404)的消息(540);
将所述消息(540)与一个或多个条件进行比较;并且
一旦检测到已经违反条件,通过所述TXD输出接口(438)向所述串行通信总线(404)输出错误信号(543),其中所述错误信号(543)标识与所述条件相关的一个或多个参数。
2.根据权利要求1所述的安全模块(434),其特征在于,所述与所述条件相关的一个或多个参数能采用至少三个不同值中的一个。
3.根据权利要求1或权利要求2所述的安全模块(434),其特征在于,所述错误信号(543)包括已经违反的一个或多个条件的错误标识符(545)。
4.根据在前的任一项权利要求所述的安全模块(434),其特征在于,所述安全模块(434)与串行通信节点(402)相关联,并且所述错误信号(543)包括所述串行通信节点(402)的节点标识符(544)。
5.根据在前的任一项权利要求所述的安全模块(434),其特征在于,所述错误信号(543)包括所述安全模块(434)的安全模块标识符。
6.根据在前的任一项权利要求所述的安全模块(434),其特征在于,所述安全模块(434)被配置成:
将(i)通过所述TXD输出接口(438)输出到所述串行通信总线(404)的错误信号(643)与(ii)通过所述RXD输入接口(436)接收到的总线错误信号(655)进行比较;并且
通过所述TXD输出接口(438)向所述串行通信总线(404)输出错误检验信号(646),其中所述错误检验信号(646)指示所述错误信号(643)与所述总线错误信号(655)之间是否存在差异。
7.根据权利要求6所述的安全模块(434),其特征在于,如果所述错误信号(643)与所述总线错误信号(655)之间存在差异,则所述错误检验信号(646)包括一个或多个显性位。
8.根据权利要求6或权利要求7所述的安全模块(434),其特征在于:
所述错误信号(643)包括:与所述条件相关的第一标识符(644);以及与所述条件相关的第二标识符(645);
所述总线错误信号(655)包括:与所述条件相关的总线第一标识符(652);以及与所述条件相关的总线第二标识符(653);并且
所述错误检验信号(646)包括:
第一错误检验信号,所述第一错误检验信号指示(i)所述错误信号(643)的所述第一标识符(644)与(ii)所述总线错误信号(655)的所述总线第一标识符(652)之间是否存在差异;以及
第二错误检验信号,所述第二错误检验信号指示(i)所述错误信号(643)的所述第二标识符(645)与(ii)所述总线错误信号(655)的所述总线第二标识符(653)之间是否存在差异。
9.根据权利要求8所述的安全模块(434),其特征在于:
所述安全模块(434)与串行通信节点(402)相关联;
所述第一标识符(644)包括所述串行通信节点(402)的节点标识符(644);
所述总线第一标识符(652)包括一个或多个串行通信节点(402)的总线节点标识符(652);
所述第二标识符(645)包括已经违反的一个或多个条件的错误标识符;并且
所述总线第二标识符(653)包括已经违反的一个或多个条件的总线错误标识符。
10.一种向串行通信总线输出错误信号(543)的方法,其特征在于,所述方法包括:
接收来自所述串行通信总线(404)的消息(540);
将所述消息(540)与一个或多个条件进行比较;并且
一旦检测到已经违反条件,向所述串行通信总线(404)输出错误信号(543),其中所述错误信号(543)标识与所述条件相关的一个或多个参数。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP19190344.2A EP3772839B1 (en) | 2019-08-06 | 2019-08-06 | Security module for a serial communications device |
| EP19190344.2 | 2019-08-06 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112347021A true CN112347021A (zh) | 2021-02-09 |
| CN112347021B CN112347021B (zh) | 2024-04-09 |
Family
ID=67658490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010739897.5A Active CN112347021B (zh) | 2019-08-06 | 2020-07-28 | 用于串行通信装置的安全模块 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11463198B2 (zh) |
| EP (1) | EP3772839B1 (zh) |
| CN (1) | CN112347021B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3745656B1 (en) | 2019-05-29 | 2023-08-09 | Nxp B.V. | Controller area network transceiver |
| EP3772841B1 (en) | 2019-08-06 | 2023-06-14 | Nxp B.V. | A security module for a can node |
| EP3772840B1 (en) | 2019-08-06 | 2023-03-15 | Nxp B.V. | A security module for a can node |
| EP3809638B1 (en) * | 2019-10-17 | 2023-05-17 | Volvo Car Corporation | Detecting manipulation of data on a can bus |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR19980057466U (ko) * | 1997-02-04 | 1998-10-15 | 정장호 | 전전자교환기에서의 td버스 정합 오류 감지회로 |
| US20070250741A1 (en) * | 2006-04-24 | 2007-10-25 | Freescale Semiconductor, Inc. | Selective bit error detection at a bus device |
| US20140298133A1 (en) * | 2011-04-20 | 2014-10-02 | Florian Hartwich | Method and device for serially transferring data, having switchable data encoding |
| US20150135271A1 (en) * | 2013-11-11 | 2015-05-14 | GM Global Technology Operations LLC | Device and method to enforce security tagging of embedded network communications |
| US20150347218A1 (en) * | 2014-05-29 | 2015-12-03 | Freescale Semiconductor, Inc. | Indicating internal transmitter errors in a controller area network (can) |
| EP2985955A1 (en) * | 2014-08-15 | 2016-02-17 | Nxp B.V. | Controller area network (can) device and method for emulating classic can error management |
| CN105703883A (zh) * | 2014-12-16 | 2016-06-22 | 英特尔公司 | 在统一协议通信中交换错误信息的装置、方法和系统 |
| US9380070B1 (en) * | 2015-01-20 | 2016-06-28 | Cisco Technology, Inc. | Intrusion detection mechanism |
| US20170093659A1 (en) * | 2015-09-28 | 2017-03-30 | Nxp B.V. | Controller area network (can) device and method for controlling can traffic |
| US20170235698A1 (en) * | 2016-02-12 | 2017-08-17 | Nxp B.V. | Controller area network (can) message filtering |
| US20180152472A1 (en) * | 2015-09-29 | 2018-05-31 | Panasonic Intellectual Property Corporation Of America | Invalidity detection electronic control unit, in-vehicle network system, and communication method |
| US20180239668A1 (en) * | 2017-02-17 | 2018-08-23 | Marvell World Trade Ltd. | Systems and methods for an error logging mechanism at controller area network buses |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009523B2 (en) * | 2012-11-27 | 2015-04-14 | GM Global Technology Operations LLC | Method and apparatus for isolating a fault in a controller area network |
| EP3772841B1 (en) | 2019-08-06 | 2023-06-14 | Nxp B.V. | A security module for a can node |
| EP3772840B1 (en) | 2019-08-06 | 2023-03-15 | Nxp B.V. | A security module for a can node |
-
2019
- 2019-08-06 EP EP19190344.2A patent/EP3772839B1/en active Active
-
2020
- 2020-07-28 CN CN202010739897.5A patent/CN112347021B/zh active Active
- 2020-08-04 US US16/984,699 patent/US11463198B2/en active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR19980057466U (ko) * | 1997-02-04 | 1998-10-15 | 정장호 | 전전자교환기에서의 td버스 정합 오류 감지회로 |
| US20070250741A1 (en) * | 2006-04-24 | 2007-10-25 | Freescale Semiconductor, Inc. | Selective bit error detection at a bus device |
| US20140298133A1 (en) * | 2011-04-20 | 2014-10-02 | Florian Hartwich | Method and device for serially transferring data, having switchable data encoding |
| US20150135271A1 (en) * | 2013-11-11 | 2015-05-14 | GM Global Technology Operations LLC | Device and method to enforce security tagging of embedded network communications |
| US20150347218A1 (en) * | 2014-05-29 | 2015-12-03 | Freescale Semiconductor, Inc. | Indicating internal transmitter errors in a controller area network (can) |
| EP2985955A1 (en) * | 2014-08-15 | 2016-02-17 | Nxp B.V. | Controller area network (can) device and method for emulating classic can error management |
| CN105703883A (zh) * | 2014-12-16 | 2016-06-22 | 英特尔公司 | 在统一协议通信中交换错误信息的装置、方法和系统 |
| US9380070B1 (en) * | 2015-01-20 | 2016-06-28 | Cisco Technology, Inc. | Intrusion detection mechanism |
| US20170093659A1 (en) * | 2015-09-28 | 2017-03-30 | Nxp B.V. | Controller area network (can) device and method for controlling can traffic |
| US20180152472A1 (en) * | 2015-09-29 | 2018-05-31 | Panasonic Intellectual Property Corporation Of America | Invalidity detection electronic control unit, in-vehicle network system, and communication method |
| US20170235698A1 (en) * | 2016-02-12 | 2017-08-17 | Nxp B.V. | Controller area network (can) message filtering |
| US20180239668A1 (en) * | 2017-02-17 | 2018-08-23 | Marvell World Trade Ltd. | Systems and methods for an error logging mechanism at controller area network buses |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210044382A1 (en) | 2021-02-11 |
| EP3772839A1 (en) | 2021-02-10 |
| EP3772839B1 (en) | 2023-01-04 |
| US11463198B2 (en) | 2022-10-04 |
| CN112347021B (zh) | 2024-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10693905B2 (en) | Invalidity detection electronic control unit, in-vehicle network system, and communication method | |
| CN112347021B (zh) | 用于串行通信装置的安全模块 | |
| EP3206361B1 (en) | Controller area network (can) message filtering | |
| RU2712138C2 (ru) | Способ, система и электронный блок управления для предотвращения спуфинга в автомобильной сети | |
| US11888866B2 (en) | Security module for a CAN node | |
| US11190299B2 (en) | Ethernet communication apparatus, and method for recovering error of end node and switch in vehicle | |
| US11677779B2 (en) | Security module for a can node | |
| US10462161B2 (en) | Vehicle network operating protocol and method | |
| US20220239576A1 (en) | Error detection test device for a subscriber station of a serial bus system and method for testing mechanisms for detecting errors in a communication in a serial bus system | |
| US20200412756A1 (en) | Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium | |
| CN112583786A (zh) | 用于警报的方法、发送器设备和接收器设备 | |
| US11789886B2 (en) | Controller area network device | |
| EP4199435A1 (en) | Apparatus for a controller area network | |
| CN109560983B (zh) | 用于车辆网络的数据通信方法和装置 | |
| EP4304135A1 (en) | Controller area network (can) transceiver, can node, can system and method for the can transceiver | |
| EP4199437A1 (en) | Apparatus for a controller area network | |
| EP4344150A1 (en) | Controller area network system and a method for the system | |
| CN116471139A (zh) | 控制器局域网模块和用于所述模块的方法 | |
| CN116266804A (zh) | 用于控制器局域网的设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |