CN116639140A - 减轻对车辆软件的操纵 - Google Patents
减轻对车辆软件的操纵 Download PDFInfo
- Publication number
- CN116639140A CN116639140A CN202310150021.0A CN202310150021A CN116639140A CN 116639140 A CN116639140 A CN 116639140A CN 202310150021 A CN202310150021 A CN 202310150021A CN 116639140 A CN116639140 A CN 116639140A
- Authority
- CN
- China
- Prior art keywords
- component
- vehicle
- components
- software
- manipulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 95
- 238000000034 method Methods 0.000 claims abstract description 61
- 238000012546 transfer Methods 0.000 claims abstract description 21
- 230000008859 change Effects 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims description 46
- 238000004590 computer program Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 58
- 230000002085 persistent effect Effects 0.000 description 20
- 238000001514 detection method Methods 0.000 description 15
- 238000012544 monitoring process Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000004378 air conditioning Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/06—Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W50/045—Monitoring control system parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0043—Signal treatments, identification of variables or parameters, parameter estimation or state estimation
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/06—Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
- B60W2050/065—Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot by reducing the computational load on the digital processor of the control computer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Transportation (AREA)
- Human Computer Interaction (AREA)
- Stored Programmes (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开的一个方面涉及一种计算机实现的方法。该方法包括在用于减轻软件操纵的中央设备中识别操纵车辆的车载网络的多个组件中第一组件的软件的可能性。用于减轻操纵的所述中央设备是所述车载网络的一部分并且被设计为减轻所述车载网络的多个组件中每个组件中的软件。该方法还包括引入用于减轻对所述第一组件的软件操纵的对策以及执行用于减轻对所述第一组件的软件操纵的对策。所述对策包括改变所述第一组件的功能并且将所述第一组件的功能至少部分转移到所述多个组件中的一个或多个其他组件。所述车载网络被设计成,在违反所述第一组件和/或所述车辆的一个或多个与运行状态相关的标准的情况下也执行所述功能的改变和至少部分转移。
Description
背景技术
最近,车辆越来越多地绑定到开放环境中(即车辆具有一个或多个接口,经由这些接口在运行期间接收和/或发送数据,而这些数据又用于所述车辆的运行)。附加地,车辆组件的复杂性以及特别是其软件的复杂性不断增加。此外,车辆的软件在运行期间也以越来越多样化的方式更新。
因此,操纵车辆组件的软件的可能性变得越来越多样化。
在现有技术的一些方法中,检测并且尤其是减轻(即消除,以达到定义的(安全)状态)操纵伴随着相当大的耗费,并且因此带来了相当大的时间延迟。例如,在停留于车间时可以重置组件(例如控制设备)的受操纵软件并由此消除操纵。在其他技术中,可以从远程计算机系统请求软件,借助于该软件重置组件(例如控制设备)的受操纵软件并且因此消除操纵。在这两种情况下,在检测到操纵和减轻操纵之间可能存在相当长的时间段。车辆的运行在该时间段期间可能受到干扰(例如,不再满足预定的安全标准)。在一些情况下,车辆可能不再适合行驶或其功能可能会严重受损。因此,用于减轻软件操纵的改进技术是值得期望的。
发明内容
本公开的第一一般方面涉及一种计算机实现的方法。该方法包括在用于减轻软件操纵的中央设备中识别操纵车辆的车载网络的多个组件中第一组件的软件的可能性。用于减轻操纵的所述中央设备是所述车载网络的一部分并且被设计为减轻所述车载网络的多个组件中每个组件中的软件。该方法还包括引入用于减轻对所述第一组件的软件操纵的对策以及执行用于减轻对所述第一组件的软件操纵的对策。所述对策包括改变第一组件的功能并且将第一组件的功能至少部分地转移到多个组件中的一个或多个其他组件。车载网络被设计成在违反第一组件和/或车辆的一个或多个与运行状态相关的标准的情况下也执行功能的改变和至少部分转移。
本公开的第二一般方面涉及一种被设计为执行根据第一一般方面的方法的系统。
本公开的第三一般方面涉及一种用于车辆的车载网络。所述车载网络包括多个组件,所述多个组件包括第一组件和用于减轻软件操纵的中央设备。所述车载网络被设计为执行根据第一一般方面的方法。
本公开的第四一般方面涉及一种车辆,其包括根据第二一般方面的系统和/或是所述系统的一部分和/或包括根据第三一般方面的车载网络。
在一些情况下,本公开的第一至第四一般方面的技术可以具有以下优点中的一个或多个。
首先,在一些状况下通过改变第一组件的功能并且至少部分地将第一组件的功能移动到多个组件中的一个或多个其他组件可以确保在操纵之后也提供车辆的特定功能和/或对第一个组件的重新攻击不影响功能。例如,第一组件可以提供车辆的制动功能(并访问相应的致动器,例如以制动助力器的形式)。通过操纵第一个组件,攻击者可以尝试使车辆过度制动。本公开的技术现在可以确保在识别操纵之后,第一组件不被用于或仅在有限的程度上被用于提供制动功能(即第一组件的功能被改变)。以此方式,可以防止攻击以预期的方式滥用第一组件。此外,另一个组件可以(至少部分地)提供车辆中的制动功能(即,制动功能至少部分地转移到另一个组件,例如ESC控制设备)。借此可以实现,即使在软件被操纵之后,车辆也具有制动功能(根据需求配置文件)。此外,转移功能在一些情况下可以防止攻击者通过操纵第一组件的软件再次攻击车辆的制动功能。
其次(并且作为第一个优点的结果),在违反第一组件和/或车辆的一个或多个与运行状态相关的标准的情况下执行的并且已经为此在车辆中实施的对策可以被“重复使用”。因此,在一些情况下,可以用相对少的花费来实施本公开的技术。在以上示例中,对于第一组件(例如制动助力器)不可能对车辆进行制动的情况,制动功能已经可以转移。例如,制动助力器可能有缺陷。这种运行状态可以在车辆中被检测到,制动功能可以转移到另一个组件(例如ESC控制设备)。在检测到对软件的操纵的情况下,本公开的技术现在也可以利用这个已经存在的对策。因此在一些状况下可以省略转移机制的耗费实施。
在本公开中,一些术语以下列方式使用:
本公开中的(车载网络的)“组件”具有自己的硬件资源,这些硬件资源包括至少一个用于执行命令的处理器和用于存储至少一个软件组件的存储器。术语“处理器”还包括承担(并且必要时分担)电子设备的中央处理单元的任务的多核处理器或多个单独的部件。组件可以独立地执行任务(例如测量任务、监视任务、控制任务、通信任务和/或其他工作任务)。然而,在一些示例中,一个组件也可以由另一个组件控制。组件可以是物理上有界的(例如,有自己的外壳)或集成到上级系统中。组件可以是车辆的控制设备或通信设备。组件可以是嵌入式系统。组件可以包括一个或多个微控制器。
“嵌入式系统”是绑定(嵌入)到技术环境中的组件。在此,该组件承担测量任务、监视任务、控制任务、通信任务和/或其他工作任务。
“(专用)控制设备”是(专门)控制车辆的一种功能的组件。例如,控制设备可以接管发动机控制、制动系统控制或辅助系统控制。在此,可以在车辆的不同层面上定义“功能”(例如,针对一个功能可以使用单个传感器或执行器,但也可以使用组合成更大的功能单元的大量组件)。
术语“软件”或“软件组件”原则上可以是本公开的组件(例如控制设备)的软件的任何部分。特别地,软件组件可以是本公开的组件的固件组件。“固件”是嵌入(电子)组件并在那里执行基本功能的软件。固件在功能上固定地与组件的相应硬件相关联(从而一个不能在没有另一个的情况下使用)。固件可以存储在非易失性存储器中,例如闪存或EEPROM。
术语“更新信息”或“软件更新信息”包括直接或在对应的处理步骤之后形成根据本公开的组件的软件组件的任何数据。更新信息可以包含可执行代码或尚未编译的代码(所述代码存储在对应组件的存储器中)。
在本公开中,术语“操纵”包括车辆组件的软件的任何改变。所述改变可能是攻击的结果(即第三方的蓄意影响),也可能是随机或无意影响的结果。
术语“车辆”包括运输乘客和/或货物的任何设备。车辆可以是机动车辆(例如乘用车或卡车),也可以是轨道车辆。然而,漂浮设备和飞行设备也可以是车辆。车辆可以至少部分自主地运行或得到辅助。
“车载网络”可以是用于使车辆的组件相互通信的任何车辆内部网络。在一些示例中,车载网络是局域网。车载网络可以使用一种或多种近距离通信协议(例如,两种或更多种近距离通信协议)。近距离通信协议可以是无线或有线的通信协议。近距离通信协议可以包括总线协议(例如CAN、LIN、MOST、FlexRay或以太网)。近距离通信协议可以包括蓝牙协议(例如,蓝牙5或更高版本)或WLAN协议(例如,IEEE-802.11族协议,例如,802.11h或更高版本的协议)。车载网络可以包含与车辆外部的系统通信的接口,并且因此也可以绑定到其他网络中。然而,车辆外部的系统和其他网络不是车载网络的一部分。
术语“识别......的可能性”是指根据预定的规则解释特定事件(例如信号或它们的缺失)以识别可能存在软件操纵的状态。
本公开中的“功能”是组件在车辆中执行特定任务的任何能力。例如,任务可以是车辆的一个或多个系统(例如发动机、变速器、辅助系统、传感器、空调、信息娱乐、通信接口等)的运行。在其他示例中或附加地,任务可以是执行驾驶操作(或驾驶操作的一部分)并且可以自主地或辅助地执行(这可能在复杂性上有所不同,例如,制动操作、转向操作、沿着特定路线驾驶或停车)。在其他示例中,任务可以是提供数据(例如,传感器数据)(这又可以用于其他任务)。
“运行状态”包括与车辆和/或其组件和/或车辆周围环境有关的任何状态信息。运行状态可以由车辆和/或其组件和/或其周围环境的一个或多个状态参数来定义。状态参数可以是车辆和/或其组件的测量或计算的参数和/或从它们导出的参量(例如,组件的温度或表明车辆和/或其组件的状态的导出参量。运行状态可以通过监视车辆和/或其组件来确定(例如,可以监控车辆和/或其组件是否根据特定规范运行)。
附图说明
图1是图解了本公开的技术的流程图。
图2示出了其中可以使用本公开的技术的车辆的车载网络的组件。
图3示出了车载网络的示例性组件。
图4示出了本公开的示例性方法的流程图。
图5示出了根据图2的车载网络,在该车载网络中第一组件受到了操纵。
图6示出了根据图2的车载网络,在该车载网络中第一组件的操纵已被消除。
具体实施方式
首先,参考图1至图3讨论可以在其中执行本公开的技术的车辆和组件以及本公开的技术的基本方面。参考图4讨论了本公开的技术的示例。基于图5和图6讨论了用于减轻软件的中央设备的其他方面。
图1是图解了本公开的技术的流程图。图2示出了其中可以使用本公开的技术的车辆的车载网络的组件。图3示出了车载网络的示例性组件。
图1中的中间列示出了在一些示例中可以由用于减轻软件操纵的中央设备执行(但是在其他示例中也可以由其他组件执行)的步骤。右列示出了由车载网络的特定组件(或组件组)(不包括用于减轻软件操纵的中央设备)执行的步骤。左列示出了由远程系统(即在车辆外部)执行的步骤。
本公开的技术包括识别101操纵车辆20的车载网络的多个组件中第一组件27c的软件的可能性。图2中示意性地示出了车辆20,图3中示出示例性的第一组件27c。该车辆20配备有连接车辆20的多个组件21-24、25、27a-f的车载网络(所述车载网络可以如上所述构建)。
车辆20具有用于减轻软件操纵的中央设备25,该中央设备识别操纵的可能性。因此,该中央设备是车载网络的一部分(即也是车辆的一部分并随车辆移动)。用于减轻软件操纵的中央设备25可以被设计为减轻车载网络的多个组件21-24、27a-f中每个组件中的软件操纵。
在一些示例中,用于减轻软件操纵的中央设备25集成到车辆20的中央通信接口中。所述中央通信接口可以被设计为充当用于在车辆20内的通信和/或经由通信接口21、22与外界的通信的数据分发器。在此,所述中央通信接口可以支持不同的通信协议(用于车载网络中的通信或与外部系统的通信)和/或实现安全功能。在其他示例中,用于减轻软件操纵的中央设备可以集成到其他组件中(进一步的示例如下)或设计为独立组件。
在一些示例中,所述识别可以包括接收表明车辆20的车载网络的多个组件中第一组件27c的软件受到操纵的信号。该信号可以在用于减轻软件操纵的中央设备25本身中和/或其他设备中产生。
附加地或替代地,所述识别可以包括识别(预期的)信号(例如,来自第一组件或监视第一组件的组件)的不存在。车载网络可以被设计为使得多个组件21-24、25、27a-f或其他组件发送表明多个组件21-24、25、27a-f中相应组件的软件未受到操纵的信号(例如定期地或当特定事件发生时,如组件的启动)。
进一步附加地或替代地,所述识别可以包括处理车载网络的其他状态信息以识别第一组件的软件受到操纵的可能性。
响应于识别出车辆20的车载网络的多个组件中第一组件27c的软件受到操纵的可能性(例如,接收到信号或识别出信号不存在),引入并执行用于减轻对第一组件的操纵的对策。
对策包括改变115第一组件27c的功能并且至少部分地将第一组件27c的功能移动103到多个组件中的一个或多个其他组件27a、b、d-f。
在一些示例中,改变115第一组件27c的功能可以包括关闭第一组件27c的功能。也就是说,第一组件27c不再提供该功能。为此,可以停用和/或阻断第一组件27c。
在其他示例中,改变115功能可以包括限制第一组件27c的功能。例如,第一组件27c可以被设计成在多个定性或定量阶段提供特定功能(例如,具有预定的定性或定量特征,单独或仅与其他组件组合,在不同的运行情况下等)。限制可以包括将第一组件27c从提供第一阶段中的功能切换到提供第二阶段中的功能。
将第一组件27c的功能至少部分地转移103到多个组件中的一个或多个其他组件27a、b、d-f可以包括多个组件中的一个或多个其他组件27a、b、d-f至少暂时接管第一组件27c的任务(或其部分)。在一些示例中,第一组件27c的功能可以完全转移到多个组件中的一个或多个其他组件27a、b、d-f(即,第一组件27c不再参与提供该功能,该功能完全由其他组件27a、b、d-f提供)。
在本公开的技术中,车载网络被设计成在违反第一组件27c和/或车辆20的一个或多个与运行状态相关的标准的情况下也执行功能改变和至少部分转移。运行状态相关的标准可以确定第一组件27c和/或车辆20是否和/或在何种程度上根据预定规范工作(即,如果运行状态相关的标准被违反,则第一组件27c和/或车辆20未按照预定规范工作)。在一些示例中,运行状态相关的标准的检查可以包括评估车辆20和/或其组件和/或其周围环境的一个或多个状态参数(例如,这通过监视车辆20和/或其组件和/或其周围环境产生)。运行状态相关的标准的检查例如可以包括检查车辆20和/或其组件是正常工作还是出现异常(例如,是否正在按照规定执行驾驶操作)。附加地或替代地,运行状态相关的标准的检查例如可以包括检查车辆20、车辆20的周围环境和/或车辆20的组件的一个或多个状态参数是否在预定范围内(例如,组件的温度或传感器的视界是否在特定范围内)。在本公开的技术中,改变功能和至少部分转移因此可以在识别软件操纵(即入侵)之后以及在存在车辆的特定运行状态(例如车辆20和/或其组件在预定规范之外工作)下实施。
在一些示例中,一个或多个与运行状态相关的标准可以是第一组件27c和/或车辆20的运行安全标准(运行安全也称为“功能安全”或在英语中称为“Safety”)。运行安全标准及其检查可以如上所述进行。例如,运行安全标准可以确定第一组件27c和/或车辆20是否和/或在何种程度上根据预定的(安全)规范工作(即,如果一个运行安全标准被违反,则第一组件27c和/或车辆20未根据预定的(安全)规范工作,并且因此被认为是不安全的)。对于对运行安全关键的功能(例如涉及驾驶操作的功能),更有可能的是,车载网络本就提供至少部分功能转移(即车载网络在所述功能方面是至少部分冗余设计的)。然而,本公开的技术不限于运行安全关键的功能。对于非运行安全关键的功能,也可以提供至少部分地将功能转移到另一个组件的能力(例如对于空调或信息娱乐功能)。
在一些示例中,用于减轻操纵的中央设备25可以协调将第一组件27c的功能至少部分地转移到一个或多个其他组件27a、b、d-f(即,用于减轻操纵的中央设备25引入转移步骤和/或必要时指示其他组件)。为此,用于减轻操纵的中央设备25可以指示一个或多个其他组件27a、b、d-f至少部分地接管第一组件27c的功能。在一些示例中,协调可以确保根据当前需求配置文件(即,根据车辆和/或其周围环境的相应状态下的预定规范)提供车辆20中的功能。在一些示例中,这可以包括确保车辆20中的功能由组件提供。附加地或替代地,协调可以包括确保特定功能不由多个组件(同时)提供(这可能导致需求配置文件被“过度满足”并且因此也导致错误行为)。使用用于减轻操纵的中央设备25来协调将第一组件27c的功能至少部分转移到一个或多个其他组件27a、b、d-f可以在一些状况下防止攻击者通过操纵第一组件27c的软件还使根据本公开技术的对策瘫痪。
在一些示例中,用于将第一组件27c的功能至少部分地转移到多个组件中的一个或多个其他组件27a、b、d-f的通信可以用一种或多种密码方法来保护。在一些示例中,通信可以发生在第一组件27c和用于减轻操纵的中央设备25之间和/或用于减轻操纵的中央设备25和多个组件中的一个或多个其他组件27a、b、d-f之间。例如,通信可以被加密。附加地或替代地,可以使用数字签名来进行通信(以便验证参与者,例如激活和/或停用写入锁的请求的来源)。进一步附加地或替代地,通信可以使用混淆方法隐藏在车辆的数据流中。进一步附加地或替代地,通信可以通过时间戳来保护,该时间戳可以由通信中的参与者评估以检查通信(例如,通信中的参与者可以丢弃早于预定阈值年龄的消息)。在一些示例中,第一组件27c、用于减轻操纵的中央设备25和/或多个组件中的一个或多个其他组件27a、b、d-f的安全模块可以用于执行一个或多个密码方法(在第一组件27c侧,必要时还可以使用其他模块来执行一个或多个密码方法-下面结合图3进一步解释安全模块)。
现在参考图3进一步解释第一组件27c的各方面(本公开的其他组件也可以具有所描述的结构)。第一组件27c具有存储器91。存储器91例如可以是非易失性存储器(例如EPROM存储器或闪存)。存储器91可以被设计为存储第一组件27c的至少一个软件组件(例如用于控制第一组件27c)。存储器91可以是第一组件27c的程序存储器。存储器91可以仅包括第一组件27c的总存储器的一部分。替代地或附加地,存储器91可以分布在多个硬件模块和/或逻辑段上。
第一组件27c可以具有安全模块93。安全模块93可以在其硬件和/或软件方面与第一组件27c的其余模块分开(即,是单独的物理模块或独立的外围模块)。安全模块可以包括一个或多个专有处理器(例如至少一个密码加速器)。在其他示例中,安全模块93可以包括多核处理器的一个或多个核或上级组件的其他元件(静态或动态地分配给安全模块一一例如,多核处理器的一个或多个核可以被配置给安全模块)。同样在这种情况下,安全模块(例如,多核处理器的一个或多个核)与其他元件分离(例如,电路在物理上是分离的)。在一些示例中,安全模块93可以被设计为,除了本公开中所描述的功能(例如改变和/或转移功能)之外还执行一个或多个密码功能(例如,管理密钥和/或签名、加密或解密数据和其他密码功能中的一项或多项功能)。附加地或替代地,安全模块93可以包括用于识别操纵的(操纵)检测设备(如下面更详细描述)。在一些示例中,安全模块93是硬件安全模块(英文HardwareSecurity Module,HSM)。在图3的示例中,安全模块93是组件27c的内部安全模块。在其他示例中,安全模块可以是组件27c的外部安全模块(其例如包含在车辆20的其他组件中,例如在用于减轻软件操纵的中央设备25中)。
在一些示例中,改变第一组件27c的功能可以由第一组件27c的安全模块93执行。例如,安全模块可以发送用于改变第一组件的功能(例如关闭第一组件的至少一部分)的指令(例如发送到第一组件27c的处理器)。安全模块93可以被配置为强制改变功能(例如否决第一组件27c的其他模块)。这样,在一些状况下,可以防止攻击者对第一组件27c的软件的操纵也阻碍了改变第一组件27c的功能的对策的实施。对安全模块93的操纵可以比第一组件的其他模块的操纵(显著)更困难。此外,在一些情况下无需对组件的硬件进行重大修改即可实现所描述的安全性增益,因为已经存在的安全模块被使用了两次。
在一些示例中,第一组件27c的功能至少部分转移到一个或多个其他组件27a、b、d-f可以由安全模块93协调(而不是如上所述,由用于减轻软件操纵的中央设备25协调)。为此,安全模块93可以向一个或多个其他组件27a、b、d-f和/或车载网络的其他组件发送相应的命令。
组件27c还包含用于执行指令的处理器94(例如作为主单元的一部分)。如已经提到的,术语“处理器”还包括承担(并且必要时分担)电子设备的中央处理单元的任务的多核处理器或多个单独部件。在一些示例中,组件27c可以包括一个或多个接口95,所述接口被设计用于经由车载网络的传输路径96进行通信。如图3中可见,处理器94、安全模块93或两者可以直接访问一个或多个接口95以经由车载网络的传输路径96进行通信(如果安全模块协调功能的转移,则直接访问一个或多个接口95可能是有利的)。该传输路径可以是总线系统(例如CAN、LIN、MOST、FlexRay或以太网)的传输路径。
下面基于图4讨论本公开的方法的示例性流程。
在图4中,每一列都示出了特定组件(或其模块之一)或系统的动作。列之间的箭头象征着相应单元之间的通信。在最左边,示出了特定组件(本公开的第一组件27c)(例如,车辆20的嵌入式系统,例如控制单元)。组件27c可以具有两个模块,即主单元403(该主单元可以包含例如处理器94)和安全模块93。主单元403可以被设计为提供车辆中的组件的功能(例如测量任务、监视任务、控制任务、通信任务和/或其他工作任务)。在中间列中示出了车载网络的其他组件之一402(第一组件27c的功能被转移到该组件402上)。在最右边示出了用于减轻软件操纵的中央设备25的操作。
在特定时间点,如图4中所示,现在可能进行对第一组件27c(或主单元403)的软件的操纵410。该操纵可以由第一组件27c的安全模块93检测到415。结果,安全模块93可以改变第一组件的功能。例如,可以停用417主单元403。替代地或附加地,安全模块93可以将主单元403置于可以重置受操纵的软件的状态中(例如重新编程模式)。第一组件27c现在不再能够(或仅在有限程度上)提供该功能。
此外,可以将检测到操纵的信息传达给用于减轻软件操纵的中央设备25。在图4的示例中,这是通过未在到期时间点发送信号411来完成的,该信号411本来(定期地)由第一组件27c(并且必要时也由用于减轻软件操纵的中央设备25)发送。用于减轻软件操纵的中央设备25可以识别412所述信号411的不存在并且因此识别412操纵第一组件27c的软件的可能性。结果,用于减轻软件操纵的中央设备25可以协调将该功能转移到其他组件402。例如,可以将功能413的转移指示发送到其他组件402。然后所述其他组件可以提供该功能(并且必要时向用于减轻软件操纵的中央设备25发送确认414)。
图4中示出了第一组件27c的功能的改变时间上在该功能已转移到其他组件402之后结束。在其他示例中,两个动作可以以相反的顺序执行或同时(例如,在一秒内)执行。
在任何情况下,车辆在执行功能的改变和转移之后可以处于安全状态(根据预定的安全标准)。
操纵可以被消除(例如通过重置418第一组件27c的软件,如下文进一步描述)。
在以下段落中解释了用于减轻软件操纵的中央设备25的方面。在图2的示例中示出了用于减轻软件操纵的中央设备25。在一些情况下,车辆可以仅包含一个用于减轻软件操纵的中央设备25,该中央设备被设计为减轻对多个组件21-24、27a-f的操纵并且特别是协调组件功能的转移(例如车辆的所有组件一一对这些组件可以消除软件操纵,或这些组件的子集)。在其他示例中,车辆可以具有多个用于减轻软件操纵的中央设备,这些中央设备是车载网络的一部分并且分别与车载网络的多个组件相关联(即,可以消除对相关联组件的软件的操纵)。然而,在任何情况下,用于减轻软件操纵的中央设备都是与相关组件分离的。用于减轻软件操纵的中央设备25在一些情况下也可以被设计为减轻操纵其自身的软件和/或以下组件的软件,在该组件中集成了用于减轻软件操纵的中央设备25。
在图2的示例中,可以使用本公开的技术消除对其软件的操纵的多个组件包括多个控制设备27a-f。如已经描述的,本公开的技术不限于控制设备,而是原则上可以用于车辆20的车载网络的任何组件。然而,由于车辆中的控制设备27a-f定期具有仅有限的硬件资源和/或功能,因此本公开的技术在一些情况下对于控制设备而言可能特别有利。
在图2中将控制设备27a-f细分为多个域26a-n。这些域可以是车辆20的功能域和/或局部域。功能域可以包括车辆的各种组件,这些组件参与提供车辆的特定功能(例如发动机控制、传动系统控制、信息娱乐、空调等)。局部域可以包括车辆的物理上布置在车辆特定区域(例如,“右后”、“左前”、“前内部空间”等)中的各种组件。
域26-n又可以包含组件27a、27d,这些组件充当相应域26a-n的中央通信节点和/或承担相应域26a-n的控制功能。在一些示例中,用于减轻软件操纵的中央设备可以是充当相应域26a-n的中央通信节点和/或承担相应域26a-n的控制功能的组件27a、27d的一部分。这种用于减轻软件操纵的中央设备可以附加于其他用于减轻软件操纵的中央设备(例如,作为车载网络的中央通信接口一部分的用于减轻软件操纵的中央设备)设置或作为唯一的用于减轻软件操纵的中央设备设置(参见上面的解释)。进一步替代地或附加地,用于减轻软件操纵的中央设备可以被设计为车辆的中央控制单元23的一部分。进一步替代地或附加地,用于减轻软件操纵的中央设备可以布置为车辆20的信息娱乐系统(图2中未示出)的主单元(英文“Head Unit”)的一部分。进一步替代地或附加地,可以将用于减轻软件操纵的中央设备布置为车载网络的中央计算机(“车辆计算机”)的一部分(车载网络可以包含多个中央计算机——“车辆计算机”)。中央计算机(“车辆计算机”)可以比车载网络的专用控制设备(明显)更强大并且承担(可能在上述多个域中)多个控制设备的任务。
车辆20还可以包括中央持久性存储器41(即,将其信息持久地——例如,超过一天或超过一周和/或在车辆静止状态期间——存储在车辆中的存储器)。在一些示例中,持久性存储器41可以包括闪存。在图2的示例中,持久性存储器41布置在车辆20的中央通信接口中或与所述中央通信接口直接连接。如所讨论的,用于减轻软件操纵的中央设备25同样可以布置在车辆20的中央通信接口中。即使用于减轻软件操纵的中央设备(附加地或替代地)布置在其他组件中,持久性存储器也可以附加地或替代地布置在同一组件中。通过这种方式,用于减轻软件操纵的中央设备可以将存储在持久性存储器中的数据用于减轻操纵。然而,在其他示例中,用于减轻软件操纵的中央设备和持久性存储器也可以布置在车载网络的不同组件中(并且用于减轻软件操纵的中央设备可以经由网络访问持久性存储器)。
持久性存储器41可以被设计为同时为多个组件27a-f中的每一个组件存储软件组件42a、42c-n。为此,持久性存储器41可以被设计为具有大于256MB(优选大于5GB)的存储容量。
针对操纵的对策除了改变和转移功能之外还可以包括重置已识别出其软件受到操纵的组件(在本公开中也称为“第一组件”)的软件(例如在使用存储在中央持久性存储器41中用于相应组件的软件组件42a、42c-n的情况下)。下面参考图5和图6讨论这些其他对策的其他方面。
在一些示例中,包含在中央持久性存储器41中的软件组件42a、42c-n可以基于多个组件27a-n中的每一个组件的软件更新信息32a、32c-n(例如从中作为软件更新信息32a、32c-n产生或对应于所述软件更新信息)。
可以经由车辆20的接口21接收软件更新信息32a、32c-n。接口21可以是无线接口(如图2中所示),但在其他示例中也可以是有线接口(例如用于车载诊断的接口)。车辆可以被设计为经由接口21、22之一从远程系统30接收软件更新信息32a、32c-n。如图1中所示,远程系统30可以为对应的车辆选择107软件更新信息32a、32c-n,并经由接口21、22之一发送到车辆20。远程系统30可以是适用于提供软件更新信息32a、32c-n的任何系统(例如云存储器和/或分布式系统)。除了提供软件更新信息32a、32c-n之外,远程系统30还可以承担车辆运行中的其他功能(例如,车辆20的监视功能和/或控制功能)。
在一些示例中,多个组件(例如,控制设备27a、c-n)的软件更新信息32a、32c-n包含在软件包或软件容器31中(即,软件更新信息以捆绑形式提供)。软件包或软件容器31(通常具有相当大的尺寸)在特定时间点被传送到车辆20。如所描述的,传送的软件更新信息32a、32c-n在车辆20中用于更新多个组件27a-f的软件。为此,从远程系统30获得的软件更新信息32a、32c-n可以遍历一个或多个准备步骤(例如,解包、签名验证等)。附加地或替代地,软件更新信息可以修复车辆车载网络中的漏洞。
附加地或替代地,也可以经由有线接口22接收(例如在软件包或软件容器中)软件更新信息32a、32c-n。
软件更新信息32a、32c-n可以在可能的准备步骤之前或之后作为多个组件27a、c-n的软件组件42a、42c-n存储在持久性存储器41中(例如,在这些软件更新信息用于更新组件27a、c-n的软件之前)。为多个组件27a、c-n存储的软件组件42a、42c-n然后可用于用于减轻软件操纵的中央设备25,以减轻对多个组件27a、c-n的操纵。这种减轻可以在多个组件27a、c-n中每一个组件的软件更新结束之后进行(例如,在直到接收到进一步的软件更新信息32a、32c-n为止的时间段内)。
通过这种方式,在一些示例中,本公开的技术可以利用业已存在于车辆中的组件,例如在车辆20的软件更新过程中使用的持久性存储器41。在一些情况下,这可以导致组件的显著节省(如上所述,用于存储软件更新信息32a、32c-n的软件包或软件容器31所需的存储器可以占据相当大的规模)。附加地或替代地,可以避免为各个组件配备额外的资源(例如存储器),这同样可以降低复杂性并因此降低易错性和/或成本。进一步附加地或替代地,持久性存储器41的信息在许多情况下快速且与车辆的通信信道的可用性无关地提供。这可以提高减轻操纵的方法的反应时间。
在本公开的技术中,可以基本上在没有车辆20外部的系统(例如,远程系统30)的帮助的情况下执行用于减轻的对策。例如,该对策可以由用于减轻软件操纵的中央设备25引入,而不需要与车辆20外部的系统通信(在此过程期间,车辆20可能出于其他目的与车辆20外部的系统通信)。附加地或替代地,用于减轻软件操纵的中央设备25(或车载网络的其他组件)可以执行对策而不需要与车辆20外部的系统通信。
在一些示例中,本公开的技术可以包括基于车辆的上下文信息从多个其他对策中选择(除了改变和转移功能之外的,下文中仅还称为“其他对策”)其他对策。上下文信息可以包括与车辆20的运行状态相关的信息和/或与用于运行车辆20的预定规则相关的信息。
运行状态可以是车辆的驾驶状态(例如,快速驾驶、慢速驾驶、执行特定驾驶操作等),也可以是车辆未驾驶期间的运行状态。替代地或附加地,车辆20的上下文信息可以包括环境信息和/或车辆组件的状态信息。
用于运行车辆20的规则可以包含预定的安全标准(所述安全标准又可以取决于车辆20的运行状态并且例如设定允许何时以及以何种依赖性引入针对特定组件的其他对策)。
上下文信息可以至少部分地存储在用于减轻软件操纵的中央设备25的存储器(例如中央持久性存储器41)中,以用于选择其他对策(特别是上下文信息中包括关于用于运行车辆20的预定规则的信息的部分)。在一些示例中,上下文信息可以从车辆20外部更新(例如,作为用于减轻软件操纵的中央设备25或用于减轻软件操纵的中央设备25所在的组件的软件更新信息32b的一部分)。
在一些示例中,可以使用各种其他对策来减轻对组件27a、c-n的软件的特定操纵(下面更详细地描述可能的其他对策)。现在可以使用上下文信息来选择可用的其他对策之一。在一些示例中,可以从多个可用的其他对策中选择使得能够很大程度上恢复组件的额定状态(即尽可能消除操纵)的其他对策。另一方面,在一些状况下可以基于上下文信息中包含的规则来排除可用的其他对策(例如,如果违反特定的安全标准)。
例如,第一其他对策虽然可能比第二其他对策更大程度地减轻操纵,但另一方面需要对车辆组件进行更深入的干预(并且因此通过该减轻过程本身可能导致更大的干扰风险)。与第一其他对策相比,第二其他对策虽然可能使得在较小程度上减轻操纵,但另一方面也只需要对车辆的组件进行不太深入的干预。在这种情况下,可以在第一上下文(由上下文信息表示)中选择第一其他对策并且可以在第二上下文(由上下文信息表示)中选择第二其他对策。在图示示例中,第一上下文可以是车辆快速行驶的上下文,而第二上下文可以是车辆静止的上下文。在其他情况下,上下文信息可以包括安全标准,遵守该安全标准则禁止在第一种状况下执行第一其他对策,但允许在第二种状况下执行第一其他对策。
在一些示例中,其他对策可以包括使用存储在中央持久性存储器41中的用于被识别出操纵的组件27a、c-f的软件组件42a、c-n(例如,基于接收到软件更新信息产生的)立即重置(例如在五分钟内或一分钟内)第一组件27a、c-f的软件,并且以后使用相应组件27a、c-f的软件组件42a、c-n重置组件27a、c-f的软件。同样,在特定上下文中可以(例如,通过安全标准)排除立即重置。例如,以后的重置可以在直到相应组件27a、c-f的下一次启动过程为止的时间段内进行。
下面基于图5和图6解释本公开的技术的其他方面。图5示出了根据图2的车载网络,在该车载网络中第一组件27c受到了操纵。图6示出了根据图2的车载网络,在该车载网络中消除了对第一组件27c的操纵。
首先更详细地解释检测车辆20的组件27a、c-f的软件操纵的一些方面。如上所提到的,本公开的技术可以包括识别操纵车载网络的多个组件中一个组件的软件的可能性,这在一些示例中包括接收信号。该信号可以通过不同方式产生。
首先,可以检测对组件27a、c-f的软件的操纵。该检测可以通过对应组件的对应(操纵)检测设备在本地完成。
在图5中,控制设备27c之一(本公开一些示例中的“第一组件”)的软件受到了操纵。引入了受操纵的软件组件71。
控制设备27c的(操纵)检测设备81a可以识别该操纵并为用于减轻软件操纵的中央设备25产生对应的信号(也参见图1中的步骤111和113)。然后可以如上所述处理该信号以引入并执行减轻。
在其他示例中或附加地,车辆20的中央通信接口的(操纵)检测设备61b可以(远程)检测对控制设备27c的操纵并且为用于减轻软件操纵的中央设备25产生所述信号(该中央设备在图3的示例中同样布置在车辆20的中央通信接口中)。在一些示例中,用于减轻软件操纵的中央设备25因此也被设计用于中央检测车载网络的多个组件27a、c-f的软件操纵。
在其他示例中或附加地,远程系统30的检测设备可以(远程)检测对控制设备27c的操纵并且为用于减轻软件操纵的中央设备25产生所述信号。在该示例中,可以经由车辆的接口接收所述信号。然而,如果操纵的检测也在车辆内部发生,则在一些情况下可以缩短直到减轻操纵为止的时间段。
不同的检测设备81a、61b(特别是布置在车辆中的检测设备81a、61b)可以是已经存在于(车载)网络中的检测设备。如上所述,还可以以一些已知的方法识别对软件的操纵。
可以以任何可想到的方式检测操纵。例如,可以在启动时(“secure boot,安全启动”)和/或运行期间(“运行时操纵检测”)借助于一种或多种用于检查软件的真实性和/或可信性(例如使用一种或多个数字签名)的方法来检查软件。
在其他示例中,如果不存在则识别出操纵可能性的信号由前面段落中描述的组件产生。例如,控制设备27c的(操纵)检测设备81a可以产生信号(例如定期地或在特定事件出现时),该信号的不存在可以表明对控制设备27c的软件的操纵。
现在参考图5和图6讨论使用第一组件27c的存储在中央持久性存储器41中的软件组件42c来重置第一组件27c的软件的其他对策的其他方面。
用于减轻操纵的中央设备25可以基于对第一组件27c的操纵的检测来选择其他对策。在图5和图6的示例中选择重置第一组件27c的软件作为其他对策。该重置可以包括将软件带入上次认证的状态。这可以包括删除和/或覆盖第一组件27c(例如控制设备)的部分或整个软件。删除和/或覆盖第一组件27c的部分或整个软件可以由用于减轻操纵的中央设备25远程(即,经由车载网络的连接)执行。通过这种方式,受操纵的软件组件71或其部分81a、81b可以被可信的(即未受操纵的)软件组件52c或其部分53a、53b替换以消除操纵。
可以从持久性存储器41中调用可信的(即未受操纵的)软件52c。如已经提到的,持久性存储器41可以包含以可直接使用的形式或以在一个或多个处理步骤之后才能用于重置第一组件27c的受操纵的软件组件71的形式的软件组件42c。
在一些示例中,用于减轻操纵的中央设备25可以执行用于确保重置组件的软件的软件组件42a、c-n的可信性的对策。例如,在使用软件组件42a、c-n之前,可以执行可信性检查(例如基于数字签名或其他安全特征)。为了所述可信性检查,用于减轻操纵的中央设备25可以动用集成了用于减轻操纵的中央设备25的组件的功能。
在一些示例中,持久性存储器41可以包含车载网络的特定组件的软件组件的多于一个的版本。在这种情况下,用于减轻操纵的中央设备25可以选择版本之一(例如,软件组件的当前版本)。
在前面的段落中参考图5和图6讨论了用于减轻车载网络的第一组件27c的操纵的对策。然而,用于减轻操纵的中央设备25被设置为在与减轻第一组件27c的软件操纵不同的时间点或同时引入关于多个组件27a、d-f中一个或多个另外的组件的软件操纵的对策。
在一些示例中,用于减轻操纵的中央设备25被设计为识别操纵车载网络的多个组件中另外的组件27a、d-f的软件的可能性,并且引入用于减轻对另外的组件27a,d-f的操纵的其他对策。操纵的检测、对策的引入和执行可以如上所述进行。例如,可以重置另外的组件27a、d-f的受操纵软件组件。
通过这种方式,唯一的用于减轻操纵的中央设备可以照料(即消除对多个组件的软件的操纵)车载网络中远离该中央设备的多个组件(例如,不同域中的控制设备)。
在前面的段落中已经描述了重置组件的软件作为示例性的其他对策,该其他对策由用于减轻操纵的中央设备引入并且然后在车载网络中执行。
在一些示例中,用于减轻操纵的中央设备可以额外地或附加地引入另外的其他对策,它们在车载网络中执行
在一些示例中,针对操纵的其他对策可以包括阻止第一组件27c(其软件受到了操纵)经由车载网络进行通信。阻止该通信可以防止第一组件27c的受操纵软件经由车载网络造成损坏。另一方面,受操纵软件仍然可以执行第一组件27c的功能(例如,在一定的持续时间内)。出于该原因,在一些情况下阻止第一组件27c经由车载网络的通信可能比重置第一组件27c的软件更可取(例如,在第一组件27c的失效至少在短期内是不可容忍或不期望的上下文中)。可以在阻止第一组件27c的通信的其他对策之后引入和执行重置第一组件27c的软件的其他对策(例如,在改变的上下文中)。
替代地或附加地,针对操纵的其他对策可以包括阻止组件组经由车载网络进行通信,该组件组包括第一组件27c。在图3的示例中,第一组件27c可以包含在具有另外的组件27a、b的第一域26a中。阻止组件组经由车载网络进行通信类似于如上所述阻止各个组件。在此也可以防止由所述组件组在车载网络中引起损坏。即使在阻止组件组经由车载网络进行通信的情况下,也可以在以后的时间点引入和执行重置第一组件27c的软件的其他对策(例如,在改变的上下文中)。
在前面的段落中多次基于相应的方法描述了本公开的技术。本公开还涉及一种被设计为执行本公开的方法的系统。该系统可以包括(例如,集成在该系统中)车辆车载网络的一个或多个组件。所述车载网络还可以包括仅暂时包含在所述车载网络中的设备(例如,位于车辆中并集成到车载网络中的移动设备)。在其他示例中,所述系统还可以包括远程系统。
本公开还涉及一种用于车辆的车载网络,所述车载网络包括至少一个根据本公开的用于减轻软件操纵的中央设备和所述车载网络的多个组件。所述车载网络可以被设计为执行本公开的技术(如上所述)。所述车载网络还可以包括仅暂时包含在所述车载网络中的设备(例如,位于车辆中并集成到车载网络中的移动设备)。
如上所述,所述用于减轻软件操纵的中央设备可以是独立设备(即具有自己的硬件和软件资源的专用模块,它是车载网络的一部分并且可以与所述车载网络的其他组件通信)。然而,在其他情况下,所述用于减轻软件操纵的中央设备被集成到所述车载网络的其他(业已存在的)组件中。所述用于减轻软件操纵的中央设备在此可以设计为软件模块(其被插入到组件的软件中)。在其他情况下,所述用于减轻软件操纵的中央设备可以具有至少一些专用硬件组件(所述中央设备同时共享其集成到的组件的其他硬件组件)。如已提到的,其他组件可以是车载网络的中央通信接口、中央计算机(“车辆计算机”)或具有相对高性能硬件的其他组件。
在一些示例中,所述车载网络的现有组件(例如车辆或车辆的域的中央通信接口,或车辆的中央计算机,或信息娱乐系统的主单元)可以通过更新所述车载网络的该组件的软件而设置为用于减轻软件操纵的中央设备。
所述用于减轻软件操纵的中央设备或其集成到的其他组件可以包括至少一个处理器(必要时具有多个核)和包括指令的存储器,当处理器执行所述指令时,所述指令执行本公开的方法。
本公开还涉及一种车辆,其包括根据本公开的系统或者是所述系统的一部分和/或包括根据本公开的车载网络。
本公开还涉及一种计算机程序,其被设计为执行本公开的方法。
本公开还涉及一种计算机可读介质(例如DVD或固态存储器),其包含本公开的计算机程序。
本公开还涉及一种信号(例如,根据无线或有线通信协议的电磁信号),其对本公开的计算机程序进行编码。
Claims (12)
1.一种计算机实现的方法,包括:
在用于减轻软件操纵的中央设备(25)中识别(101)操纵车辆(20)的车载网络的多个组件(27a-f)中第一组件(27c)的软件的可能性,
其中用于减轻操纵的所述中央设备(25)是所述车载网络的一部分并且被设计为减轻所述车载网络的多个组件(27a-f)中每个组件中的软件;
引入(103)用于减轻对所述第一组件(27c)的软件操纵的对策;以及
执行用于减轻对所述第一组件(27c)的软件操纵的对策,
其中所述对策包括改变所述第一组件(27c)的功能并且将所述第一组件(27c)的功能至少部分转移到所述多个组件中的一个或多个其他组件(27a、b、d-f),
其中所述车载网络被设计成,在违反所述第一组件(27c)和/或所述车辆(20)的一个或多个与运行状态相关的标准的情况下也执行所述功能的改变和至少部分转移。
2.根据权利要求1所述的方法,其中所述一个或多个与运行状态相关的标准是所述第一组件(27c)和/或所述车辆(20)的运行安全标准。
3.根据权利要求1或权利要求2所述的方法,其中通过所述第一组件(27c)的安全模块(93)执行所述第一组件(27c)的功能的改变,可选地其中所述安全模块(93)是所述第一组件(27c)的硬件安全模块。
4.根据权利要求1至3中任一项所述的方法,其中用于减轻操纵的所述中央设备(25)协调将所述第一组件(27c)的功能转移到所述多个组件中的一个或多个其他组件(27a、b、d-f)。
5.根据权利要求4所述的方法,其中所述协调确保根据当前的需求配置文件来提供所述车辆(20)中的功能。
6.根据权利要求1至5中任一项所述的方法,其中改变所述第一组件(27c)的功能包括关闭所述第一组件(27c)的功能或限制所述第一组件(27c)的功能。
7.根据权利要求1至6中任一项所述的方法,其中用于将所述第一组件(27c)的功能至少部分转移到所述多个组件中的一个或多个其他组件(27a、b、d-f)的通信使用一种或多种密码方法来保护。
8.一种系统,其被设计为执行根据权利要求1至7中任一项所述的方法。
9.一种用于车辆(20)的车载网络,包括:
用于减轻软件操纵的中央设备(25);
所述车载网络的多个组件(27a-f),所述多个组件包含第一组件(27c),
其中所述车载网络被设计为执行根据权利要求1至7中任一项所述的方法。
10.一种车辆(20),其包括根据权利要求8所述的系统或是所述系统的一部分和/或包括根据权利要求9所述的车载网络。
11.一种计算机程序,其被设计为执行前述权利要求1至7的方法。
12.一种计算机可读介质或信号,其包含或编码根据权利要求11所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102022201898.2 | 2022-02-23 | ||
| DE102022201898.2A DE102022201898A1 (de) | 2022-02-23 | 2022-02-23 | Mitigation einer manipulation von software eines fahrzeugs |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116639140A true CN116639140A (zh) | 2023-08-25 |
Family
ID=87518436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310150021.0A Pending CN116639140A (zh) | 2022-02-23 | 2023-02-21 | 减轻对车辆软件的操纵 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230267213A1 (zh) |
| JP (1) | JP2023122640A (zh) |
| CN (1) | CN116639140A (zh) |
| DE (1) | DE102022201898A1 (zh) |
-
2022
- 2022-02-23 DE DE102022201898.2A patent/DE102022201898A1/de active Pending
-
2023
- 2023-02-14 US US18/169,039 patent/US20230267213A1/en active Pending
- 2023-02-21 CN CN202310150021.0A patent/CN116639140A/zh active Pending
- 2023-02-22 JP JP2023025772A patent/JP2023122640A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230267213A1 (en) | 2023-08-24 |
| DE102022201898A1 (de) | 2023-08-24 |
| JP2023122640A (ja) | 2023-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| US9560061B2 (en) | Motor vehicle with a driving behavior which can be modified at a later stage using an application program | |
| US10824765B2 (en) | Electronic control units for vehicles | |
| JP6964277B2 (ja) | 通信遮断システム、通信遮断方法及びプログラム | |
| US9434391B2 (en) | Braking system | |
| WO2012105215A1 (ja) | 車両用制御装置 | |
| CN111183412A (zh) | 用于保护对控制仪器的诊断指令的设备和相应的机动车 | |
| US20040011579A1 (en) | Method for actuating a component of distributed security system | |
| CN112537318A (zh) | 用于远程控制机动车的方法 | |
| JP2019071572A (ja) | 制御装置及び制御方法 | |
| CN109005147B (zh) | 用于避免被操纵的数据传输而保护车辆网络的方法 | |
| US20230365162A1 (en) | Computer system for providing a plurality of functions for a device, in particular for a vehicle, by separation of a plurality of zones | |
| US20230336356A1 (en) | Data storage device, data storage method, and non-transitory computer readable storage medium | |
| US20220283798A1 (en) | Mobility control system, method, and program | |
| CN116639140A (zh) | 减轻对车辆软件的操纵 | |
| CN116639139A (zh) | 减轻对车辆软件的操纵 | |
| CN115706676A (zh) | 在车辆的控制器之间进行可信的数据传输的方法、具有控制器的组件、计算机程序和车辆 | |
| CN116639138A (zh) | 减轻对车辆软件的操纵 | |
| CN116639142A (zh) | 减轻对车辆软件的操纵 | |
| CN116639141A (zh) | 减轻对车辆软件的操纵 | |
| US20230024817A1 (en) | Mitigation of vehicle software manipulation | |
| US20240061934A1 (en) | Techniques for mitigating manipulations of an onboard network of a vehicle | |
| CN117728970A (zh) | 缓解机载网络操纵的技术 | |
| CN117724734A (zh) | 更新用于减轻软件操纵的设备中的软件的计算机实现的方法 | |
| WO2024122142A1 (ja) | セキュリティ方法、および、セキュリティ装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |