CN116639141A - 减轻对车辆软件的操纵 - Google Patents
减轻对车辆软件的操纵 Download PDFInfo
- Publication number
- CN116639141A CN116639141A CN202310181849.2A CN202310181849A CN116639141A CN 116639141 A CN116639141 A CN 116639141A CN 202310181849 A CN202310181849 A CN 202310181849A CN 116639141 A CN116639141 A CN 116639141A
- Authority
- CN
- China
- Prior art keywords
- software
- component
- manipulation
- vehicle
- mitigating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 106
- 238000000034 method Methods 0.000 claims abstract description 66
- 230000015654 memory Effects 0.000 claims description 43
- 230000006870 function Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 5
- 230000004913 activation Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 37
- 230000002085 persistent effect Effects 0.000 description 21
- 238000001514 detection method Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 1
- 238000010420 art technique Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/06—Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W50/045—Monitoring control system parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0043—Signal treatments, identification of variables or parameters, parameter estimation or state estimation
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/06—Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
- B60W2050/065—Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot by reducing the computational load on the digital processor of the control computer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Stored Programmes (AREA)
Abstract
本公开的一个方面涉及一种计算机实现的方法。该方法包括在用于减轻软件操纵的中央设备中识别操纵车辆的车载网络的多个组件中第一组件的软件的可能性。用于减轻操纵的所述中央设备是所述车载网络的一部分并且被设计为减轻所述车载网络的多个组件中每个组件中的软件。该方法还包括通过用于减轻操纵的所述中央设备引入用于减轻对所述第一组件的软件操纵的对策,以及执行用于减轻对所述第一组件的软件操纵的对策。针对所述操纵的对策包括使用所述第一组件的安全模块和/或所述第一组件的不可变模块来重置所述第一组件的软件。
Description
背景技术
最近,车辆越来越多地绑定到开放环境中(即车辆具有一个或多个接口,经由这些接口在运行期间接收和/或发送数据,而这些数据又用于所述车辆的运行)。附加地,车辆组件的复杂性以及特别是其软件的复杂性不断增加。此外,车辆的软件在运行期间也以越来越多样化的方式更新。
因此,操纵车辆组件的软件的可能性变得越来越多样化。
在现有技术的一些方法中,检测并且尤其是减轻(即消除,以达到定义的(安全)状态)操纵伴随着相当大的耗费,并且因此带来了相当大的时间延迟。例如,在停留于车间时可以重置组件(例如控制设备)的受操纵软件并由此消除操纵。在其他技术中,可以从远程计算机系统请求软件,借助于该软件重置组件(例如控制设备)的受操纵软件并且因此消除操纵。在这两种情况下,在检测到操纵和减轻操纵之间可能存在相当长的时间段。车辆的运行在该时间段期间可能受到干扰(例如,不再满足预定的安全标准)。在一些情况下,车辆可能不再适合行驶或其功能可能会严重受损。因此,用于减轻软件操纵的改进技术是值得期望的。
发明内容
本公开的第一一般方面涉及一种计算机实现的方法。该方法包括在用于减轻软件操纵的中央设备中识别操纵车辆的车载网络的多个组件中第一组件的软件的可能性。用于减轻操纵的所述中央设备是所述车载网络的一部分并且被设计为减轻所述车载网络的多个组件中每个组件中的软件。该方法还包括通过用于减轻操纵的所述中央设备引入用于减轻对所述第一组件的软件操纵的对策,以及执行用于减轻对所述第一组件的软件操纵的对策。针对所述操纵的对策包括使用所述第一组件的安全模块和/或所述第一组件的不可变模块来重置所述第一组件的软件。
本公开的第二一般方面涉及一种被设计为执行根据第一一般方面的方法的系统。
本公开的第三一般方面涉及一种用于车辆的车载网络。所述车载网络包括多个组件,所述多个组件包括第一组件和用于减轻软件操纵的中央设备。所述车载网络被设计为执行根据第一一般方面的方法。
本公开的第四一般方面涉及一种车辆,其包括根据第二一般方面的系统和/或是所述系统的一部分和/或包括根据第三一般方面的车载网络。
在一些情况下,本公开的第一至第四一般方面的技术可以具有以下优点中的一个或多个。
首先,在一些状况下可以实现可以安全地重置组件的受操纵软件(例如,可以替换为未受操纵的软件组件)。在一些情况下,在重置时使用第一组件的安全模块和/或不可变模块可以确保入侵者不能(也)破坏重置过程。在一些情况下,这是通过本公开的技术按照以下方式实现的,即在重置过程中使用不太可能(理想情况下根本不会)被入侵者破坏的模块。该特性既可以借助于安全模块又可以利用不可变模块来提供:与第一组件的其他模块相比,安全模块(例如硬件安全模块,HSM)可以具有额外的安全装置,从而可能比其他模块更难被操纵。不可变模块在运行时基本上不允许更改其软件和/或功能。由此也可以更难以操纵该模块并且在最好的情况下排除操纵。这些模块可以在重置过程中以各种方式使用,例如,这些模块可以将组件置于允许软件重置的重置模式。附加地或替代地,这些模块可以接受用于重置的软件组件。在任何情况下都可以保护相应的过程免于操纵。
其次(并且作为第一个优点的结果),本公开的技术使得可以在一些情况下安全使用用于减轻软件操纵的中央设备。与现有技术的一些技术相比,具有用于减轻软件操纵的中央设备的系统可以更容易缩放和/或用在较旧车辆(不是根据最新标准设计的车辆)中。例如,可以相对简单地修改用于减轻操纵的中央设备以“照料”附加组件。在一些情况下,“受照料”组件不必为此进行太多修改或根本不必修改,这使得更易于在较旧车辆中使用。在一些情况下,用于减轻操纵的中央设备本身也可以通过软件更新进行改装。例如,可以借助于软件更新为车辆的现有组件(例如车辆的中央通信接口或车辆的中央计算机)提供用于减轻操纵的中央设备的(附加)功能。
在本公开中,一些术语以下列方式使用:
本公开中的(车载网络的)“组件”具有自己的硬件资源,这些硬件资源包括至少一个用于执行命令的处理器和用于存储至少一个软件组件的存储器。术语“处理器”还包括承担(并且必要时分担)电子设备的中央处理单元的任务的多核处理器或多个单独的部件。组件可以独立地执行任务(例如测量任务、监视任务、控制任务、通信任务和/或其他工作任务)。然而,在一些示例中,一个组件也可以由另一个组件控制。组件可以是物理上有界的(例如,有自己的外壳)或集成到上级系统中。组件可以是车辆的控制设备或通信设备。组件可以是嵌入式系统。组件可以包括一个或多个微控制器。
“嵌入式系统”是绑定(嵌入)到技术环境中的组件。在此,该组件承担测量任务、监视任务、控制任务、通信任务和/或其他工作任务。
“(专用)控制设备”是(专门)控制车辆的一种功能的组件。例如,控制设备可以接管发动机控制、制动系统控制或辅助系统控制。在此,可以在车辆的不同层面上定义“功能”(例如,针对一个功能可以使用单个传感器或执行器,但也可以使用组合成更大的功能单元的大量组件)。
术语“软件”或“软件组件”原则上可以是本公开的组件(例如控制设备)的软件的任何部分。特别地,软件组件可以是本公开的组件的固件组件。“固件”是嵌入(电子)组件并在那里执行基本功能的软件。固件在功能上固定地与组件的相应硬件相关联(从而一个不能在没有另一个的情况下使用)。固件可以存储在非易失性存储器中,例如闪存或EEPROM。
术语“更新信息”或“软件更新信息”包括直接或在对应的处理步骤之后形成根据本公开的组件的软件组件的任何数据。更新信息可以包含可执行代码或尚未编译的代码(所述代码存储在对应组件的存储器中)。
在本公开中,术语“操纵”包括车辆组件的软件的任何改变。所述改变可能是攻击的结果(即第三方的蓄意影响),也可能是随机或无意影响的结果。
术语“车辆”包括运输乘客和/或货物的任何设备。车辆可以是机动车辆(例如乘用车或卡车),也可以是轨道车辆。然而,漂浮设备和飞行设备也可以是车辆。车辆可以至少部分自主地运行或得到辅助。
“车载网络”可以是用于使车辆的组件相互通信的任何车辆内部网络。在一些示例中,车载网络是局域网。车载网络可以使用一种或多种近距离通信协议(例如,两种或更多种近距离通信协议)。近距离通信协议可以是无线或有线的通信协议。近距离通信协议可以包括总线协议(例如CAN、LIN、MOST、FlexRay或以太网)。近距离通信协议可以包括蓝牙协议(例如,蓝牙5或更高版本)或WLAN协议(例如,IEEE-802.11族协议,例如,802.11h或更高版本的协议)。车载网络可以包含与车辆外部的系统通信的接口,并且因此也可以绑定到其他网络中。然而,车辆外部的系统和其他网络不是车载网络的一部分。
术语“识别......的可能性”是指根据预定的规则解释特定事件(例如信号或它们的缺失)以识别可能存在软件操纵的状态。
附图说明
图1是图解了本公开的技术的流程图。
图2示出了其中可以使用本公开的技术的车辆的车载网络的组件。
图3示出了车载网络的示例性组件。
图4示出了本公开的示例性方法的流程图。
图5示出了根据图2的车载网络,在该车载网络中第一组件受到了操纵。
图6示出了根据图2的车载网络,在该车载网络中第一组件的操纵已被消除。
具体实施方式
首先,参考图1至图3讨论可以在其中执行本公开的技术的车辆和组件以及本公开的技术的基本方面。参考图4讨论了本公开的技术的示例。基于图5和图6讨论了用于减轻软件的中央设备的其他方面。
图1是图解了本公开的技术的流程图。图2示出了其中可以使用本公开的技术的车辆的车载网络的组件。图3示出了车载网络的示例性组件。
图1中的中间列示出了由用于减轻软件操纵的中央设备执行的步骤。右列示出了由车载网络的特定组件(或组件组)(不包括用于减轻软件操纵的中央设备)执行的步骤。左列示出了由远程系统(即在车辆外部)执行的步骤。
本公开的技术包括识别101操纵车辆20的车载网络的多个组件中第一组件27c的软件的可能性。图2中示意性地示出了车辆20。该车辆配备有连接车辆20的多个组件21-24、25、27a-f的车载网络(所述车载网络可以如上所述构建)。
车辆20具有用于减轻软件操纵的中央设备25,该中央设备识别操纵的可能性。因此,该中央设备是车载网络的一部分(即也是车辆的一部分并随车辆移动)。用于减轻软件操纵的中央设备25被设计为减轻车载网络的多个组件21-24、27a-f中每个组件中的软件操纵。
在一些示例中,用于减轻软件操纵的中央设备25集成到车辆20的中央通信接口中。所述中央通信接口可以被设计为充当用于在车辆20内的通信和/或经由通信接口21、22与外界的通信的数据分发器。在此,所述中央通信接口可以支持不同的通信协议(用于车载网络中的通信或与外部系统的通信)和/或实现安全功能。在其他示例中,用于减轻软件操纵的中央设备可以集成到其他组件中(进一步的示例如下)或设计为独立组件。
在一些示例中,所述识别可以包括接收表明车辆20的车载网络的多个组件中第一组件的软件受到操纵的信号。该信号可以在用于减轻软件操纵的中央设备25本身中和/或其他设备中产生。
附加地或替代地,所述识别可以包括识别(预期的)信号(例如,来自第一组件或监视第一组件的组件)的不存在。车载网络可以被设计为使得多个组件21-24、25、27a-f或其他组件发送表明多个组件21-24、25、27a-f中相应组件的软件未受到操纵的信号(例如定期地或当特定事件发生时,如组件的启动)。
进一步附加地或替代地,所述识别可以包括处理车载网络的其他状态信息以识别第一组件的软件受到操纵的可能性。
响应于识别出车辆20的车载网络的多个组件中第一组件的软件受到操纵的可能性(例如,接收到信号或识别出信号不存在),用于减轻软件操纵的中央设备25引入103用于减轻对第一组件的操纵的对策。然后执行123用于减轻对第一组件的操纵的对策123。
针对操纵的对策包括重置已识别出操纵可能性的第一组件27c的软件。使用第一组件27c的安全模块和/或第一组件27c的不可变模块来重置第一组件27c的所述软件。安全模块和不可变模块将在下面参考图3进行更详细的讨论。在一些示例中,仅安全模块或仅不可变模块可以用于重置。在其他示例中,安全模块和不可变模块都可以用于重置(在一些示例中,安全模块也可以是不可变模块)。所述引入可以包括用于减轻软件操纵的中央设备25给安全模块或不可变模块的消息和/或指示。在接收到所述消息和/或指示后,安全模块或不可变模块可以执行对应的步骤。替代地,所述引入可以包括由用于减轻软件操纵的中央设备25抑制消息的发送(例如,只要没有检测到操纵的可能性就由用于减轻软件操纵的中央设备25定期发送的一种消息)。
所述重置可以包括多个步骤,其中一个或多个步骤是使用安全模块和/或不可变模块执行的。相应模块的使用可以包括一个或多个编排重置或其步骤之一(例如,向第一组件的其他模块发送指示以执行重置的一个或多个步骤)。替代地或附加地,该使用可以包括在重置的范围内发送和/或接收数据。
在一些示例中,软件的重置可以包括重新启动115第一组件的处理器(该处理器是该组件的中央处理单元)。在一些示例中,重新启动115可以包括关闭处理器然后启动处理器。附加地或替代地,重新启动可以包括关断处理器然后接通处理器(例如,通过断开和重新连接处理器的电源电压)。然而,在其他示例中,重新启动还可以包括将处理器重置为特定配置和/或重置处理器的特定部分(例如,其寄存器)。在一些示例中,在重新启动之后,组件的程序可以重新从头开始。
重新启动可以通过不同的方式发起。
在一些示例中,重新启动可以由安全模块发起。例如,安全模块可以强制重新启动第一组件27c的处理器。安全模块可以为此专门设计。在其他示例中,安全模块可能已经具有此功能(以在其他情况下发起重新启动)。
替代地或附加地,重新启动第一组件27c的处理器可以由车辆20的电源单元发起。在一些示例中,该电源单元可以被设计为选择性地向车载网络的多个组件27a-f(或这些组件的组)供应能量。例如,该电源单元可以选择性地接通或关断车载网络的多个组件27a-f(或这些组件的组)。
进一步替代地或附加地,重新启动第一组件27c的处理器可以通过致动车辆的中央激活功能(例如车辆20的点火或其他中央激活功能)来发起。
在上述所有情况下,可以在不使用第一组件27c的可能已经被操纵破坏的部分的情况下发起重新启动。这可以降低入侵者干扰重置过程的概率。
在一些示例中,重置包括由第一组件27c的安全模块和/或第一组件27c的不可变模块将第一组件27c置于117重置模式(例如,在重新启动115之后或重新启动115期间)。重置模式使得可以随后重置软件。重置模式可以是例如第一组件27c的编程模式,其中可以改变第一组件27c的软件(而这在运行模式中是不可能的)。
在一些示例中,重置包括接收119用于重置第一组件27c的软件的软件组件(例如,在将第一组件27c置于重置模式之后)并且将接收到的软件组件存储在第一组件27c的存储器中。由此可以替换受操纵的软件组件(并且消除操纵)。受操纵的软件组件可以是第一组件的软件的一部分。替代地或附加地,接收到的软件组件可以包括用于重置第一组件27c的软件的配置信息。借助于所述配置信息可以改变第一组件27c的软件配置。可以从用于减轻操纵的中央设备25发送121用于重置软件的软件组件(例如,借助于下面描述的技术)。
如下所述,在一些示例中,用于重置第一组件27c的软件的软件组件可以存储在车辆中,例如作为软件包或软件容器31的一部分,其包含多个组件的软件更新信息(例如存储在用于减轻操纵的中央设备25的持久存储器41中)。在这些示例中(但一般而言也是如此),可以在重置之前验证用于重置第一组件27c的软件的软件组件。这可以通过不同的方式进行(也可以组合)。在一些示例中,可以验证用于重置第一组件27c的软件的软件组件。例如,可以向用于重置第一组件27c的软件的软件组件分配一个或多个参考认证元素(必要时一个或多个参考认证元素可以与用于重置车辆其他组件的软件的其他软件组件的对应参考认证元素一起存储在列表中,例如在第一组件27c中或车辆的其他存储器中)。在一些示例中,在接收到用于重置车辆中第一组件27c的软件的软件组件(例如软件包或软件容器31)时确定所述一个或多个参考认证元素(并且例如存储在列表中)。然后,这些参考认证元素可用于以后比较以验证软件组件。为了验证用于重置第一组件27c的软件的软件组件(或其他软件组件),在重置之前,可以将对应的参考认证元素与为存储在车辆中的用于重置第一组件27c的软件的软件组件确定的认证元素进行比较。如果基于该比较认证了存储在车辆中的用于重置第一组件27c的软件的软件组件(例如,参考认证元素与所确定的认证元素一致),则可以使用用于重置第一组件27c的软件的软件组件。如果基于所述比较没有认证存储在车辆中的用于重置第一组件27c的软件的软件组件(例如,参考认证元素与所确定的认证元素不一致),则重置过程可以中止。可以通过不同的方式构造参考认证元素(以及因此对应的所确定的认证元素)。在一些示例中,(参考)认证元素可以是哈希值(其中该哈希值是为用于重置第一组件27c的软件的可信软件组件确定的并且作为参考认证元素存储在车辆中)。在其他示例中,(参考)认证元素可以是数字签名(其中该数字签名是针对用于重置第一组件27c的软件的可信软件组件接收的并且作为参考认证元素存储在车辆中)。在另外的示例中,参考认证元素可以是MAC元素(“消息认证码”)(其中该MAC元素是针对用于重置第一组件27c的软件的可信软件组件接收的并且作为参考认证元素存储在车辆中)。验证用于重置第一组件27c的软件的软件组件在一些状况下可以防止在车辆中接收后已被入侵者操纵的存储在车辆中的软件组件被用于重置第一组件27c。如果没有验证,在用于重置软件的软件组件保存在车辆中(例如,保存较长的时间段——例如超过一天)的情况下,(一个或多个)保存的软件组件可能在车辆中本地受到操纵,并且然后用于重置组件。
在一些示例中,接收用于重置软件的软件组件和存储接收到的软件组件可以由安全模块执行。替代地或附加地,接收用于重置软件的软件组件和存储接收到的软件组件可以由不可变模块执行。如所提到的,软件组件在一些示例中可以是固件组件。同样,在这两种情况下绕过第一组件27c的可能被操纵破坏的部分。因此在这两种情况下,入侵者难以阻止重置软件的过程和/或进而混入受操纵的软件。
现在参考图3进一步解释第一组件27c的各方面(本公开的其他组件也可以具有所描述的结构)。第一组件27c具有存储器91。存储器91例如可以是非易失性存储器(例如EPROM存储器或闪存)。存储器91可以被设计为存储第一组件27c的至少一个软件组件(例如用于控制第一组件27c)(例如在如上所述的重置的范围中)。存储器91可以是第一组件27c的程序存储器。存储器91可以仅包括第一组件27c的总存储器的一部分。替代地或附加地,存储器91可以分布在多个硬件模块和/或逻辑段上。
第一组件27c可以具有安全模块93。安全模块93可以在其硬件和/或软件方面与第一组件27c的其余模块分开(例如,是单独的物理模块或独立的外围模块)。安全模块可以包括一个或多个专有处理器(例如至少一个密码加速器)。在其他示例中,安全模块93可以包括多核处理器的一个或多个核或上级组件的其他元件(静态或动态地分配给安全模块——例如,多核处理器的一个或多个核可以被配置给安全模块)。同样在这种情况下,安全模块(例如,多核处理器的一个或多个核)与其他元件分离(例如,电路在物理上是分离的)。在一些示例中,安全模块93可以被设计为执行一个或多个密码功能以密码保护与用于减轻软件操纵的中央设备25的通信(例如,上述密码功能)。在一些示例中,如上所述,安全模块93可以用在第一组件27c的重置过程中。附加地或替代地,第一组件27c的安全模块93可以被设计为检测操纵的可能性(例如包含下面描述的检测设备81a)。
在一些示例中,安全模块93是硬件安全模块(英文Hardware Security Module,HSM)。在图3的示例中,安全模块93是组件27c的内部安全模块。在其他示例中,安全模块可以是组件27c的外部安全模块(其例如包含在车辆20的其他组件中,例如在用于减轻软件操纵的中央设备25中)。
第一组件还可以包含不可变模块99。如上所提到的,在第一组件27c的正常运行期间不能改变不可变模块99(或其软件和/或功能)。在一些示例中,不可变模块99包括设置为执行用于启动第一组件的(最小)程序的引导加载程序。在一些示例中,不可变模块99可以具有只读存储器或带写保护的存储器。在一些示例中,如上所述,不可变模块99可以用在第一组件27c的重置过程中。
组件27c还包含用于执行指令的处理器94。如已经提到的,术语“处理器”还包括承担(并且必要时分担)组件的中央处理单元的任务的多核处理器或多个单独部件。在一些示例中,组件27c可以包括一个或多个接口95,所述接口被设计用于经由车载网络的传输路径96进行通信。如图3中可见,处理器94、安全模块93或两者可以直接访问一个或多个接口95以经由车载网络的传输路径96进行通信。该传输路径可以是总线系统(例如CAN、LIN、MOST、FlexRay或以太网)的传输路径。安全模块93对一个或多个接口95的直接访问能够使得安全模块可以(安全地)接收用于重置过程的软件组件(而无需中间连接第一组件的可能受到破坏的模块)。
下面基于图4讨论本公开的方法的示例性流程。
在图4中,每一列都示出了特定组件(或其模块之一)或系统的动作。列之间的箭头象征着相应单元之间的通信。在最左边,示出了特定组件(本公开的第一组件27c)(例如,车辆20的嵌入式系统,例如控制单元)。组件27c可以具有两个模块,即主单元403(该主单元可以包含例如处理器94)和安全模块93。主单元403可以被设计为提供车辆中的组件的功能(例如测量任务、监视任务、控制任务、通信任务和/或其他工作任务)。在中间列中示出了车载网络的其他组件402之一。在最右边示出了用于减轻软件操纵的中央设备25的操作。
在特定时间点,如图4中所示,现在可能进行对第一组件27c(或主单元403)的软件的操纵410。该操纵可以由第一组件27c的安全模块93检测到404。结果,安全模块93可以协调第一组件的软件的重置。例如,可以重新启动405主单元403(例如处理器)。替代地或附加地,安全模块93可以将主单元403置于重置模式,在该重置模式中可以重置受操纵的软件(例如重新编程模式)。已将第一组件27c置于重置模式的确认422可以从安全模块93发送到用于减轻软件操纵的中央设备25。
在一些示例中,触发第一组件27c的软件重置的信号可以由从安全模块93(例如,从用于减轻软件操纵的中央设备25)接收的信号触发。替代地或附加地,安全模块93可以使用在到期时间点不存在本来应定期接收的信号411(例如,来自用于减轻软件操纵的中央设备25)作为重置第一组件27c的软件的触发器。
此外,可以将检测到操纵的信息传达给用于减轻软件操纵的中央设备25。在图4的示例中,这是通过未在到期时间点发送信号411来完成的,该信号411本来(定期地)由第一组件27c发送。用于减轻软件操纵的中央设备25可以识别412所述信号的不存在并且因此识别412操纵第一组件27c的软件的可能性。结果,用于减轻软件操纵的中央设备25可以协调将功能转移到其他组件402。例如,可以将功能413的转移指示发送到其他组件402。然后所述其他组件可以提供该功能(并且必要时向用于减轻软件操纵的中央设备25发送确认414)。
图4中示出了第一组件27c的功能的改变时间上在该功能已转移到其他组件402之后结束。在其他示例中,两个动作可以以相反的顺序执行或同时(例如,在一秒内)执行。
现在可以通过重置第一组件27c的软件来消除该操纵。在图4的示例中,为此目的,将软件组件从用于减轻软件操纵的中央设备25发送416到主单元403。在其他示例中,如上所述,安全模块93可以接收所述软件组件。
在以下段落中解释了用于减轻软件操纵的中央设备25的方面。在图2的示例中示出了用于减轻软件操纵的中央设备25。在一些情况下,车辆可以仅包含一个用于减轻软件操纵的中央设备25,该中央设备被设计为减轻对多个组件21-24、27a-f的操纵(例如车辆的所有组件——对这些组件可以消除软件操纵,或这些组件的子集)。在其他示例中,车辆可以具有多个用于减轻软件操纵的中央设备,这些中央设备是车载网络的一部分并且分别与车载网络的多个组件相关联(即,可以消除对相关联组件的软件的操纵)。然而,在任何情况下,用于减轻软件操纵的中央设备都是与相关组件分离的。用于减轻软件操纵的中央设备25在一些情况下也可以被设计为操纵其自身的软件和/或以下组件的软件,在该组件中集成了用于减轻软件操纵的中央设备25。
在图2的示例中,可以使用本公开的技术消除对其软件的操纵的多个组件包括多个控制设备27a-f。如已经描述的,本公开的技术不限于控制设备,而是原则上可以用于车辆20的车载网络的任何组件。然而,由于车辆中的控制设备27a-f定期具有仅有限的硬件资源和/或功能,因此本公开的技术在一些情况下对于控制设备而言可能特别有利。
在图2中将控制设备27a-f细分为多个域26a-n。这些域可以是车辆20的功能域和/或局部域。功能域可以包括车辆的各种组件,这些组件参与提供车辆的特定功能(例如发动机控制、传动系统控制、信息娱乐、空调等)。局部域可以包括车辆的物理上布置在车辆特定区域(例如,“右后”、“左前”、“前内部空间”等)中的各种组件。
域26-n又可以包含组件27a、27d,这些组件充当相应域26a-n的中央通信节点和/或承担相应域26a-n的控制功能。在一些示例中,用于减轻软件操纵的中央设备可以是充当相应域26a-n的中央通信节点和/或承担相应域26a-n的控制功能的组件27a、27d的一部分。这种用于减轻软件操纵的中央设备可以附加于其他用于减轻软件操纵的中央设备(例如,作为车载网络的中央通信接口一部分的用于减轻软件操纵的中央设备)设置或作为唯一的用于减轻软件操纵的中央设备设置(参见上面的解释)。进一步替代地或附加地,用于减轻软件操纵的中央设备可以被设计为车辆的中央控制单元23的一部分。进一步替代地或附加地,用于减轻软件操纵的中央设备可以布置为车辆20的信息娱乐系统(图2中未示出)的主单元(英文“Head Unit”)的一部分。进一步替代地或附加地,可以将用于减轻软件操纵的中央设备布置为车载网络的中央计算机(“车辆计算机”)的一部分(车载网络可以包含多个中央计算机——“车辆计算机”)。中央计算机(“车辆计算机”)可以比车载网络的专用控制设备(明显)更强大并且承担(可能在上述多个域中)多个控制设备的任务。
车辆20还可以包括中央持久性存储器41(即,将其信息持久地——例如,超过一天或超过一周和/或在车辆静止状态期间——存储在车辆中的存储器)。在一些示例中,持久性存储器41可以包括闪存。在图2的示例中,持久性存储器41布置在车辆20的中央通信接口中或与所述中央通信接口直接连接。如所讨论的,用于减轻软件操纵的中央设备25同样可以布置在车辆20的中央通信接口中。即使用于减轻软件操纵的中央设备(附加地或替代地)布置在其他组件中,持久性存储器也可以附加地或替代地布置在同一组件中。通过这种方式,用于减轻软件操纵的中央设备可以将存储在持久性存储器中的数据用于减轻操纵。然而,在其他示例中,用于减轻软件操纵的中央设备和持久性存储器也可以布置在车载网络的不同组件中(并且用于减轻软件操纵的中央设备可以经由网络访问持久性存储器)。
持久性存储器41可以被设计为同时为多个组件27a-f中的每一个组件存储软件组件42a、42c-n。为此,持久性存储器41可以被设计为具有大于256MB(优选大于5GB)的存储容量。
如上所述,针对操纵的对策包括重置已识别出其软件受到操纵的组件(在本公开中也称为“第一组件”)的软件。这可以使用存储在中央持久性存储器41中用于相应组件的软件组件42a、42c-n来完成。下面参考图5和图6讨论该对策的其他方面。
在一些示例中,包含在中央持久性存储器41中的软件组件42a、42c-n可以基于多个组件27a-n中的每一个组件的软件更新信息32a、32c-n(例如从中作为软件更新信息32a、32c-n产生或对应于所述软件更新信息)。
可以经由车辆20的接口21接收软件更新信息32a、32c-n。接口21可以是无线接口(如图2中所示),但在其他示例中也可以是有线接口(未在图2中示出)。车辆可以被设计为经由接口21从远程系统30接收软件更新信息32a、32c-n。如图1中所示,远程系统30可以为对应的车辆选择107软件更新信息32a、32c-n,并经由接口21发送109到车辆20。远程系统30可以是适用于提供软件更新信息32a、32c-n的任何系统(例如云存储器和/或分布式系统)。除了提供软件更新信息32a、32c-n之外,远程系统30还可以承担车辆运行中的其他功能(例如,车辆的监视功能和/或控制功能)。
在一些示例中,多个组件(例如,控制设备27a、c-n)的软件更新信息32a、32c-n包含在软件包或软件容器31中(即,软件更新信息以捆绑形式提供)。软件包或软件容器31(通常具有相当大的尺寸)在特定时间点被传送到车辆20。如所描述的,传送的软件更新信息32a、32c-n在车辆20中用于更新多个组件27a-f的软件。为此,从远程系统30获得的软件更新信息32a、32c-n可以遍历一个或多个准备步骤(例如,解包、签名验证等)。
附加地或替代地,也可以经由有线接口22接收(例如在软件包或软件容器中)软件更新信息32a、32c-n。
软件更新信息32a、32c-n可以在可能的准备步骤之前或之后作为多个组件27a、c-n的软件组件42a、42c-n存储在持久性存储器41中(例如,在这些软件更新信息用于更新组件27a、c-n的软件之前)。为多个组件27a、c-n存储的软件组件42a、42c-n然后可用于用于减轻软件操纵的中央设备25,以减轻对多个组件27a、c-n的操纵。这种减轻可以在多个组件27a、c-n中每一个组件的软件更新结束之后进行(例如,在直到接收到进一步的软件更新信息32a、32c-n为止的时间段内)。
通过这种方式,在一些示例中,本公开的技术可以利用业已存在于车辆中的组件,例如在车辆20的软件更新过程中使用的持久性存储器41。在一些情况下,这可以导致组件的显著节省(如上所述,用于存储软件更新信息32a、32c-n的软件包或软件容器31所需的存储器可以占据相当大的规模)。附加地或替代地,可以避免为各个组件配备额外的资源(例如存储器),这同样可以降低复杂性并因此降低易错性和/或成本。进一步附加地或替代地,持久性存储器41的信息在许多情况下快速且与车辆的通信信道的可用性无关地提供。这可以提高减轻操纵的方法的反应时间。
在本公开的技术中,可以基本上在没有车辆20外部的系统(例如,远程系统30)的帮助的情况下执行用于减轻的对策。例如,该对策可以由用于减轻软件操纵的中央设备25引入,而不需要与车辆20外部的系统通信(在此过程期间,车辆20可能出于其他目的与车辆20外部的系统通信)。附加地或替代地,用于减轻软件操纵的中央设备25(或车载网络的其他组件)可以执行对策而不需要与车辆20外部的系统通信。
在一些示例中,本公开的技术可以包括基于车辆的上下文信息从多个对策中选择对策。上下文信息可以包括与车辆20的运行状态相关的信息和/或与用于运行车辆20的预定规则相关的信息。
运行状态可以是车辆的驾驶状态(例如,快速驾驶、慢速驾驶、执行特定驾驶操作等),也可以是车辆未驾驶期间的运行状态。替代地或附加地,车辆20的上下文信息可以包括环境信息和/或车辆组件的状态信息。
用于运行车辆20的规则可以包含预定的安全标准(所述安全标准又可以取决于车辆20的运行状态并且例如设定允许何时以及以何种依赖性引入针对特定组件的对策)。
上下文信息可以至少部分地存储在用于减轻软件操纵的中央设备25的存储器(例如中央持久性存储器41)中,以用于选择对策(特别是上下文信息中包括关于用于运行车辆20的预定规则的信息的部分)。在一些示例中,上下文信息可以从车辆20外部更新(例如,作为用于减轻软件操纵的中央设备25或用于减轻软件操纵的中央设备25所在的组件的软件更新信息32b的一部分)。
在一些示例中,可以使用各种对策来减轻对组件27a、c-n的软件的特定操纵(下面更详细地描述可能的对策)。现在可以使用上下文信息来选择可用的对策之一。在一些示例中,可以从多个可用的对策中选择使得能够很大程度上恢复组件的额定状态(即尽可能消除操纵)的对策。另一方面,在一些状况下可以基于上下文信息中包含的规则来排除可用的对策(例如,如果违反特定的安全标准)。
例如,第一对策虽然可能比第二对策更大程度地减轻操纵,但另一方面需要对车辆组件进行更深入的干预(并且因此通过该减轻过程本身可能导致更大的干扰风险)。与第一对策相比,第二对策虽然可能使得在较小程度上减轻操纵,但另一方面也只需要对车辆的组件进行不太深入的干预。在这种情况下,可以在第一上下文(由上下文信息表示)中选择第一对策并且可以在第二上下文(由上下文信息表示)中选择第二对策。在图示示例中,第一上下文可以是车辆快速行驶的上下文,而第二上下文可以是车辆静止的上下文。在其他情况下,上下文信息可以包括安全标准,遵守该安全标准则禁止在第一种状况下执行第一对策,但允许在第二种状况下执行第一对策。
在一些示例中,对策可以包括使用存储在中央持久性存储器41中的用于被识别出操纵的组件27a、c-f的软件组件42a、c-n(例如,基于接收到软件更新信息产生的)立即重置(例如在五分钟内或一分钟内)第一组件27a、c-f的软件,并且以后使用相应组件27a、c-f的软件组件42a、c-n重置组件27a、c-f的软件。同样,在特定上下文中可以(例如,通过安全标准)排除立即重置。例如,以后的重置可以在直到相应组件27a、c-f的下一次启动过程为止的时间段内进行。
下面基于图5和图6解释本公开的技术的其他方面。图5示出了根据图2的车载网络,在该车载网络中第一组件27c受到了操纵。图6示出了根据图2的车载网络,在该车载网络中消除了对第一组件27c的操纵。
首先更详细地解释检测车辆20的组件27a、c-f的软件操纵的一些方面。如上所提到的,本公开的技术包括识别操纵车载网络的多个组件中一个组件的软件的可能性,这在一些示例中包括接收信号。该信号可以通过不同方式产生。
首先,可以检测对组件27a、c-f的软件的操纵。该检测可以通过对应组件的对应(操纵)检测设备在本地完成。
在图5中,控制设备27c之一(本公开一些示例中的“第一组件”)的软件受到了操纵。引入了受操纵的软件组件71。
控制设备27c的(操纵)检测设备81a(例如,安全模块的一部分)可以识别该操纵并为用于减轻软件操纵的中央设备25产生对应的信号(也参见图1中的步骤111和113)。然后可以如上所述处理该信号以引入减轻。
在其他示例中或附加地,车辆20的中央通信接口的(操纵)检测设备61b可以(远程)检测对控制设备27c的操纵并且为用于减轻软件操纵的中央设备25产生所述信号(该中央设备在图3的示例中同样布置在车辆20的中央通信接口中)。在一些示例中,用于减轻软件操纵的中央设备25因此也被设计用于中央检测车载网络的多个组件27a、c-f的软件操纵。
在其他示例中或附加地,远程系统30的检测设备可以(远程)检测对控制设备27c的操纵并且为用于减轻软件操纵的中央设备25产生所述信号。在该示例中,可以经由车辆的接口接收所述信号。然而,如果操纵的检测也在车辆内部发生,则在一些情况下可以缩短直到减轻操纵为止的时间段。
不同的检测设备81a、61b(特别是布置在车辆中的检测设备81a、61b)可以是已经存在于(车载)网络中的检测设备。如上所述,还可以以一些已知的方法识别对软件的操纵。
可以以任何可想到的方式检测操纵。例如,可以在启动时(“secure boot,安全启动”)和/或运行期间(“运行时操纵检测”)借助于一种或多种用于检查软件的真实性和/或可信性(例如使用一种或多个数字签名)的方法来检查软件。
在其他示例中,如果不存在则识别出操纵可能性的信号由前面段落中描述的组件产生。例如,控制设备27c的(操纵)检测设备81a可以产生信号(例如定期地或在特定事件出现时),该信号的不存在可以表明对控制设备27c的软件的操纵。
现在参考图5和图6讨论使用第一组件27c的存储在中央持久性存储器41中的软件组件42c来重置第一组件27c的软件的对策的其他方面。
用于减轻操纵的中央设备25可以基于对第一组件27c的操纵的检测来选择对策。在图5和图6的示例中描述了第一组件27c的软件的重置。该重置可以包括将软件带入上次认证的状态。这可以包括删除和/或覆盖第一组件27c(例如控制设备)的部分或整个软件。删除和/或覆盖第一组件27c的部分或整个软件可以由用于减轻操纵的中央设备25远程(即,经由车载网络的连接)执行。通过这种方式,受操纵的软件组件71或其部分81a、81b可以被可信的(即未受操纵的)软件组件52c或其部分53a、53b替换以消除操纵。
可以从持久性存储器41中调用可信的(即未受操纵的)软件52c。如已经提到的,持久性存储器41可以包含以可直接使用的形式或以在一个或多个处理步骤之后才能用于重置第一组件27c的受操纵的软件组件71的形式的软件组件42c。
在一些示例中,用于减轻操纵的中央设备25可以执行用于确保重置组件的软件的软件组件42a、c-n的可信性的对策。例如,在使用软件组件42a、c-n之前,可以执行可信性检查(例如基于数字签名或其他安全特征)。为了所述可信性检查,用于减轻操纵的中央设备25可以动用集成了用于减轻操纵的中央设备25的组件的功能。
在一些示例中,持久性存储器41可以包含车载网络的特定组件的软件组件的多于一个的版本。在这种情况下,用于减轻操纵的中央设备25可以选择版本之一(例如,软件组件的当前版本)。
在前面的段落中参考图5和图6讨论了用于减轻车载网络的第一组件27c的操纵的对策。然而,用于减轻操纵的中央设备25被设置为在与减轻第一组件27c的软件操纵不同的时间点或同时引入关于多个组件27a、d-f中一个或多个另外的组件的软件操纵的对策。
在一些示例中,用于减轻操纵的中央设备25被设计为识别操纵车载网络的多个组件中另外的组件27a、d-f的软件的可能性,并且引入用于减轻对另外的组件27a,d-f的操纵的另外的对策。操纵的检测、对策的引入和执行可以如上所述进行。例如,可以重置另外的组件27a、d-f的受操纵软件组件。
通过这种方式,唯一的用于减轻操纵的中央设备可以照料(即消除对多个组件的软件的操纵)车载网络中远离该中央设备的多个组件(例如,不同域中的控制设备)。
在前面的段落中已经描述了重置组件的软件作为对策,该对策由用于减轻操纵的中央设备引入并在车载网络中执行。
在一些示例中,用于减轻操纵的中央设备可以额外地引入另外的对策,然后执行这些对策。
在一些示例中,针对操纵的另外的对策可以包括阻止第一组件27c(其软件受到了操纵)经由车载网络进行通信。阻止该通信可以防止第一组件27c的受操纵软件经由车载网络造成损坏。另一方面,受操纵软件仍然可以执行第一组件27c的功能(例如,在一定的持续时间内)。出于该原因,在一些情况下阻止第一组件27c经由车载网络的通信可能比重置第一组件27c的软件更可取(例如,在第一组件27c的失效至少在短期内是不可容忍或不期望的上下文中)。可以在阻止第一组件27c的通信的对策之后引入和执行重置第一组件27c的软件的对策(例如,在改变的上下文中)。
替代地或附加地,针对操纵的另外的对策可以包括阻止组件组经由车载网络进行通信,该组件组包括第一组件27c。在图3的示例中,第一组件27c可以包含在具有另外的组件27a、b的第一域26a中。阻止组件组经由车载网络进行通信类似于如上所述阻止各个组件。在此也可以防止由所述组件组在车载网络中引起损坏。即使在阻止组件组经由车载网络进行通信的情况下,也可以在以后的时间点引入和执行重置第一组件27c的软件的对策(例如,在改变的上下文中)。
进一步替代地或附加地,针对操纵的另外的对策可以包括改变已被识别出操纵的第一组件27c的功能。例如,可以根据预定模式限制功能(例如,限制为在相应上下文中特定的安全相关方面所需的功能)。
进一步替代地或附加地,针对操纵的另外的对策可以包括将已被识别出操纵的第一组件27c的功能转移到多个组件27a、b、d-f中的一个或多个其他组件。例如,多个组件27a、b、d-f中的一个或多个其他组件可以至少暂时承担第一组件27c的任务(或其部分)。然后可以停用和/或阻止第一组件27c。同样在这种情况下,可以在以后的时间点引入和执行重置第一组件27c的软件的对策(例如,在改变的上下文中)。
在前面的段落中多次基于相应的方法描述了本公开的技术。本公开还涉及一种被设计为执行本公开的方法的系统。该系统可以包括(例如,集成在该系统中)车辆车载网络的一个或多个组件。所述车载网络还可以包括仅暂时包含在所述车载网络中的设备(例如,位于车辆中并集成到车载网络中的移动设备)。在其他示例中,所述系统还可以包括远程系统。
然而,本公开还涉及一种用于车辆的车载网络,所述车载网络包括至少一个根据本公开的用于减轻软件操纵的中央设备和所述车载网络的多个组件。所述车载网络可以被设计为执行本公开的方法。所述车载网络还可以包括仅暂时包含在所述车载网络中的设备(例如,位于车辆中并集成到车载网络中的移动设备)。
如上所述,所述用于减轻软件操纵的中央设备可以是独立设备(即具有自己的硬件和软件资源的专用模块,它是车载网络的一部分并且可以与所述车载网络的其他组件通信)。然而,在其他情况下,所述用于减轻软件操纵的中央设备被集成到所述车载网络的其他(业已存在的)组件中。所述用于减轻软件操纵的中央设备在此可以设计为软件模块(其被插入到组件的软件中)。在其他情况下,所述用于减轻软件操纵的中央设备可以具有至少一些专用硬件组件(所述中央设备同时共享其集成到的组件的其他硬件组件)。如已提到的,其他组件可以是车载网络的中央通信接口、中央计算机(“车辆计算机”)或具有相对高性能硬件的其他组件。
在一些示例中,所述车载网络的现有组件(例如车辆或车辆的域的中央通信接口,或车辆的中央计算机,或信息娱乐系统的主单元)可以通过更新所述车载网络的该组件的软件而设置为用于减轻软件操纵的中央设备。
所述用于减轻软件操纵的中央设备或其集成到的其他组件可以包括至少一个处理器(必要时具有多个核)和包括指令的存储器,当处理器执行所述指令时,所述指令执行本公开的方法。
本公开还涉及一种车辆,其包括根据本公开的系统或者是所述系统的一部分和/或包括根据本公开的车载网络。
本公开还涉及一种计算机程序,其被设计为执行本公开的方法。
本公开还涉及一种计算机可读介质(例如DVD或固态存储器),其包含本公开的计算机程序。
本公开还涉及一种信号(例如,根据无线或有线通信协议的电磁信号),其对本公开的计算机程序进行编码。
Claims (15)
1.一种计算机实现的方法,包括:
在用于减轻软件操纵的中央设备(25)中识别(101)操纵车辆(20)的车载网络的多个组件(27a-f)中第一组件(27c)的软件的可能性,
其中用于减轻操纵的所述中央设备(25)是所述车载网络的一部分并且被设计为减轻所述车载网络的多个组件(27a-f)中每个组件中的软件;
通过用于减轻操纵的所述中央设备(25)引入(103)用于减轻对所述第一组件(27c)的软件操纵的对策;以及
执行用于减轻对所述第一组件(27c)的软件操纵的对策,
其中针对所述操纵的对策包括使用所述第一组件(27c)的安全模块(93)和/或所述第一组件(27c)的不可变模块(99)来重置所述第一组件(27c)的软件。
2.根据权利要求1所述的方法,其中重置所述第一组件(27c)的软件包括:
由所述第一组件(27c)的安全模块(93)和/或所述第一组件(27c)的不可变模块(99)将所述第一组件(27c)置于重置模式。
3.根据权利要求1或权利要求2所述的方法,其中重置所述第一组件(27c)的软件还包括:
在将所述第一组件(27c)置于所述重置模式之前重新启动所述第一组件(27c)的处理器;
在将所述第一组件(27c)置于重置模式之后接收用于重置软件的软件组件;以及
将接收到的软件组件存储在所述第一组件(27c)的存储器中。
4.根据权利要求3所述的方法,其中重新启动所述第一组件(27c)的处理器由所述安全模块(93)发起。
5.根据权利要求3或权利要求4所述的方法,其中重新启动所述第一组件(27c)的处理器由所述车辆(20)的电源单元发起,所述电源单元被设计为选择性地向所述车载网络的多个组件(27a-f)供应能量。
6.根据权利要求3至5中任一项所述的方法,其中重新启动所述第一组件(27c)的处理器通过致动所述车辆(20)的中央激活功能来发起。
7.根据权利要求1至6中任一项所述的方法,其中所述第一组件(27c)的不可变模块是引导加载程序。
8.根据权利要求1至6中任一项所述的方法,其中由用于减轻操纵的所述中央设备(25)发送用于重置软件的软件组件。
9.根据前述权利要求3至8中任一项所述的方法,其中接收用于重置软件的软件组件和存储接收到的软件组件由所述安全模块(93)执行。
10.根据前述权利要求3至9中任一项所述的方法,其中接收用于重置软件的软件组件和存储接收到的软件组件由所述不可变模块(99)执行。
11.一种系统,其被设计为执行根据权利要求1至8中任一项所述的方法。
12.一种用于车辆(20)的车载网络,包括:
用于减轻软件操纵的中央设备(25);
所述车载网络的多个组件(27a-f),所述多个组件包含第一组件(27c),
其中所述车载网络被设计为执行根据权利要求1至10中任一项所述的方法。
13.一种车辆(20),其包括根据权利要求11所述的系统或是所述系统的一部分和/或包括根据权利要求12所述的车载网络。
14.一种计算机程序,其被设计为执行前述权利要求1至10的方法。
15.一种计算机可读介质或信号,其包含或编码根据权利要求14所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102022201901.6A DE102022201901A1 (de) | 2022-02-23 | 2022-02-23 | Mitigation einer manipulation von software eines fahrzeugs |
| DE102022201901.6 | 2022-02-23 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116639141A true CN116639141A (zh) | 2023-08-25 |
Family
ID=87518791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310181849.2A Pending CN116639141A (zh) | 2022-02-23 | 2023-02-21 | 减轻对车辆软件的操纵 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230267212A1 (zh) |
| JP (1) | JP2023122639A (zh) |
| CN (1) | CN116639141A (zh) |
| DE (1) | DE102022201901A1 (zh) |
-
2022
- 2022-02-23 DE DE102022201901.6A patent/DE102022201901A1/de active Pending
-
2023
- 2023-02-07 US US18/165,649 patent/US20230267212A1/en active Pending
- 2023-02-21 CN CN202310181849.2A patent/CN116639141A/zh active Pending
- 2023-02-22 JP JP2023025765A patent/JP2023122639A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023122639A (ja) | 2023-09-04 |
| DE102022201901A1 (de) | 2023-08-24 |
| US20230267212A1 (en) | 2023-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11455393B2 (en) | Device for securing diagnostic commands to a control unit, and corresponding motor vehicle | |
| WO2017009634A1 (en) | Electronic control units for vehicles | |
| CN111788810B (zh) | 用于机动车的控制系统、用于运行控制系统的方法以及具有这种控制系统的机动车 | |
| JP2014204315A (ja) | 中継装置 | |
| US20220391192A1 (en) | Ota master, center, system, method, non-transitory storage medium, and vehicle | |
| KR102610730B1 (ko) | 차량의 업데이트 제공 장치 및 컴퓨터 기록 매체 | |
| CN116639141A (zh) | 减轻对车辆软件的操纵 | |
| US20230365162A1 (en) | Computer system for providing a plurality of functions for a device, in particular for a vehicle, by separation of a plurality of zones | |
| CN116639140A (zh) | 减轻对车辆软件的操纵 | |
| CN116639142A (zh) | 减轻对车辆软件的操纵 | |
| EP3961379A1 (en) | Software update device, software update method, non-transitory storage medium, and vehicle | |
| CN116639139A (zh) | 减轻对车辆软件的操纵 | |
| US20230024817A1 (en) | Mitigation of vehicle software manipulation | |
| CN116639138A (zh) | 减轻对车辆软件的操纵 | |
| CN115509565A (zh) | Ota管理器、系统、方法、非暂时性存储介质以及车辆 | |
| CN111079194A (zh) | 计算装置和用于该计算装置的运行方法 | |
| CN117601779A (zh) | 缓解运输工具机载网络操纵的技术 | |
| WO2022168453A1 (ja) | 車両制御システム、車両制御システムの制御方法及びプログラム | |
| CN117724734A (zh) | 更新用于减轻软件操纵的设备中的软件的计算机实现的方法 | |
| CN117728970A (zh) | 缓解机载网络操纵的技术 | |
| US20220269525A1 (en) | Method for operating a microcontroller | |
| WO2024062898A1 (ja) | 制動制御装置及びソフトウェア更新方法 | |
| WO2023042426A1 (ja) | 車載装置及びプログラム更新システム | |
| EP4109238A1 (en) | Information processing device, program update system, and program update method | |
| CN115398390A (zh) | 车辆的电子控制单元、用于更新该单元的更新方法以及装备有这种单元的车辆 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |